Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity

feat: Document Templates v2 — 11 migrations + scope-based generator

Browse Source 
Complete overhaul of document generator templates based on paragraph-by-paragraph
legal review of attorney-drafted templates (TOM, AVV, AGB, DSI, Community
Guidelines, Nutzungsbedingungen, Widerrufsbelehrung, Cookie-Richtlinie).

Templates (11 migrations 087-097):
- 087: TOM-Dokumentation v2 (11 categories incl. Trennungskontrolle)
- 088: AVV Art. 28 DSGVO (complete, §§ 1-11, 3 annexes)
- 089: Cross-document updates (Löschkonzept DIN 66399, VVT recipients)
- 090: AGB SaaS/Shop v2 (18 §§, B2B/B2C, IoT, physical goods, IP protection)
- 091: Community Guidelines v2 (3 tones, 11 modular categories, DSA-compliant)
- 092: Media & Content modules (MStV, AI Act Art. 50, UWG, Pressekodex)
- 093: DSI/Privacy Policy v2 (Art. 13 complete, shop+corporate modules)
- 094: Nutzungsbedingungen (Terms of Use, UGC, tipping, wallet, CC licenses)
- 095: Widerrufsbelehrung (SaaS + physical + IoT bundle + combo)
- 096: Social Media DSI (Facebook, YouTube, LinkedIn, TikTok, Meta Pixel)
- 097: Cookie-Richtlinie v2 (TDDDG § 25, consent banner, browser links)

Frontend (generator):
- scopeDefaults.ts: L1-L4 scope-based defaults from Compliance Scope Engine
- contextBridge.ts: TOMCtx + DPACtx interfaces (70+ new fields)
- contextBridge-helpers.ts: 35+ placeholder mappings for TOM/DPA/AGB
- _constants.ts: 120+ new generator fields (TOM, DPA, AGB, community,
  media, social, nutzungsbedingungen, widerruf, cookie, shop, IoT)
- page.tsx: Auto-prefill TOM/DPA from scope engine decision

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-05-01 01:18:33 +02:00
parent 58957a4aaa
commit bae59e2ce0
16 changed files with 3271 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend-compliance/migrations/087_tom_documentation_v2.sql
+314
View File
@@ -0,0 +1,314 @@
-- Migration 087: TOM-Dokumentation v2
-- Ueberarbeitetes Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Aenderungen: Verhaeltnismaessigkeit, AVV-Kontext, erweiterte Einleitungstexte,
-- konkrete Massnahmentabellen, neuer Abschnitt 5.11 Trennungskontrolle,
-- Abschnitt 5.10 Ueberpruefung mit Patch Management
UPDATE compliance_legal_templates
SET
content = $template$# TOM-Dokumentation (Art. 32 DSGVO)
## Dokumentenkontrolle
| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Dokumenttyp | Technische und Organisatorische Massnahmen |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Klassifizierung | Vertraulich |
| IT-Sicherheitsbeauftragter | {{ISB_NAME}} |
| Datenschutzbeauftragter | {{DPO_NAME}} |
| Geschaeftsfuehrung | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
### Aenderungshistorie
| Version | Datum | Autor | Aenderung |
|---------|-------|-------|-----------|
| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Aktuelle Fassung |
---
## 1. Ziel und Zweck
Diese TOM-Dokumentation beschreibt die technischen und organisatorischen Massnahmen, die **{{COMPANY_NAME}}** zum Schutz personenbezogener Daten getroffen hat. Sie gilt sowohl als eigenstaendiges Compliance-Dokument als auch als Anlage zu Auftragsverarbeitungsvertraegen (Art. 28 Abs. 3 lit. h DSGVO).
Bei der Auswahl und Umsetzung der Massnahmen wird der Grundsatz der Verhaeltnismaessigkeit beruecksichtigt: Art und Umfang richten sich nach dem Stand der Technik, den Implementierungskosten sowie der Art, dem Umfang und den Zwecken der Verarbeitung (Art. 32 Abs. 1 DSGVO).
Die Massnahmen dienen der Umsetzung folgender DSGVO-Anforderungen:
| Rechtsgrundlage | Inhalt |
|-----------------|--------|
| **Art. 32 Abs. 1 lit. a DSGVO** | Pseudonymisierung und Verschluesselung personenbezogener Daten |
| **Art. 32 Abs. 1 lit. b DSGVO** | Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Systeme auf Dauer sicherstellen |
| **Art. 32 Abs. 1 lit. c DSGVO** | Rasche Wiederherstellung der Verfuegbarkeit bei physischem oder technischem Zwischenfall |
| **Art. 32 Abs. 1 lit. d DSGVO** | Regelmaessige Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit der Massnahmen |
Die TOM-Dokumentation ist fester Bestandteil des Datenschutz-Managementsystems und wird regelmaessig ueberprueft und aktualisiert.
---
## 2. Geltungsbereich
Diese TOM-Dokumentation gilt fuer alle IT-Systeme, Anwendungen und Verarbeitungsprozesse von **{{COMPANY_NAME}}**. Die dokumentierten Massnahmen stammen aus zwei Quellen:
- **Embedded Library (TOM-xxx):** Integrierte Kontrollbibliothek mit spezifischen Massnahmen fuer Art. 32 DSGVO
- **Canonical Control Library (CP-CLIB):** Uebergreifende Kontrollbibliothek mit framework-uebergreifenden Massnahmen
---
## 3. Grundprinzipien Art. 32
- **Vertraulichkeit:** Schutz personenbezogener Daten vor unbefugter Kenntnisnahme durch Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle und Verschluesselung (Art. 32 Abs. 1 lit. b DSGVO).
- **Integritaet:** Sicherstellung, dass personenbezogene Daten nicht unbefugt oder unbeabsichtigt veraendert werden koennen, durch Eingabekontrolle, Weitergabekontrolle und Protokollierung (Art. 32 Abs. 1 lit. b DSGVO).
- **Verfuegbarkeit und Belastbarkeit:** Gewaehrleistung, dass Systeme und Dienste bei Lastspitzen und Stoerungen zuverlaessig funktionieren, durch Backup, Redundanz und Disaster Recovery (Art. 32 Abs. 1 lit. b DSGVO).
- **Rasche Wiederherstellbarkeit:** Faehigkeit, nach einem physischen oder technischen Zwischenfall Daten und Systeme schnell wiederherzustellen, durch getestete Recovery-Prozesse (Art. 32 Abs. 1 lit. c DSGVO).
- **Regelmaessige Wirksamkeitspruefung:** Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit aller technischen und organisatorischen Massnahmen (Art. 32 Abs. 1 lit. d DSGVO).
- **Trennbarkeit:** Gewaehrleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden (Art. 5 Abs. 1 lit. b DSGVO).
---
## 4. Schutzbedarf und Risikoanalyse
Die Schutzbedarfsanalyse bildet die Grundlage fuer die Auswahl und Priorisierung der Massnahmen.
| Kriterium | Bewertung |
|-----------|-----------|
| Vertraulichkeit | *Wird vom TOM-Generator automatisch ermittelt* |
| Integritaet | *Wird vom TOM-Generator automatisch ermittelt* |
| Verfuegbarkeit | *Wird vom TOM-Generator automatisch ermittelt* |
| Schutzniveau | *Basiert auf CIA-Bewertung* |
| DSFA-Pflicht | *Wird automatisch berechnet* |
**Hinweis:** Die detaillierte Schutzbedarfsanalyse wird im TOM-Modul ueber den Risiko-Wizard durchgefuehrt. Die Ergebnisse fliessen automatisch in die Massnahmenauswahl ein.
---
## 5. Massnahmenkatalog
### 5.1 Zutrittskontrolle
Der physische Zugang zu Raeumen und Gebaeuden, in denen personenbezogene Daten verarbeitet oder gespeichert werden, ist durch geeignete Massnahmen beschraenkt. Zutrittsberechtigungen werden nach dem Need-to-know-Prinzip vergeben, dokumentiert und regelmaessig ueberprueft. Zutritte zu gesicherten Bereichen (Serverraeume, Netzwerkinfrastruktur) werden protokolliert.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Elektronisches Zutrittskontrollsystem (Chipkarte/Transponder) | Technisch | *automatisch* | |
| Mechanische Schliesssysteme mit dokumentierter Schluesselausgabe | Technisch | *automatisch* | |
| Videoueberwachung der Zugaenge (unter Beachtung der DSGVO) | Technisch | *automatisch* | |
| Sicherheitsschloesser und abschliessbare Serverschraenke | Technisch | *automatisch* | |
| Empfangskontrolle mit Besucherprotokollierung | Organisatorisch | *automatisch* | |
| Tragepflicht von Zugangsausweisen | Organisatorisch | *automatisch* | |
| Sorgfaeltige Auswahl und Verpflichtung von Fremdpersonal | Organisatorisch | *automatisch* | |
| Automatische Protokollierung aller Zutrittsereignisse | Technisch | *automatisch* | |
### 5.2 Zugangskontrolle
Die unbefugte Nutzung von Datenverarbeitungssystemen wird durch ein mehrstufiges Authentifizierungskonzept verhindert. Jeder Benutzer erhaelt eine eindeutige Kennung mit persoenlichem Passwort. Passwoerter werden nach dem Stand der Technik gespeichert (gehashte Ablage) und unterliegen definierten Komplexitaetsanforderungen. Ein dokumentierter Prozess fuer Passwortzuruecksetzung ist etabliert.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Eindeutige Benutzerkennungen mit persoenlicher Passwortvergabe | Technisch | *automatisch* | |
| Multi-Faktor-Authentifizierung (MFA) fuer privilegierte und Remote-Zugaenge | Technisch | *automatisch* | |
| Rollenbasierte Benutzerprofile mit Zuordnung zu IT-Systemen | Technisch | *automatisch* | |
| Automatische Bildschirmsperre und Session-Timeout | Technisch | *automatisch* | |
| Account-Sperrung nach definierten Fehlversuchen | Technisch | *automatisch* | |
| VPN fuer externe Zugriffe | Technisch | *automatisch* | |
| Regelung externer Schnittstellen (USB) gemaess IT-Richtlinie | Organisatorisch | *automatisch* | |
| Intrusion-Detection-/Prevention-Systeme | Technisch | *automatisch* | |
| Anti-Viren- und Anti-Malware-Software | Technisch | *automatisch* | |
| Verschluesselung mobiler Endgeraete (Laptops, Smartphones) | Technisch | *automatisch* | |
| Hardware- und Software-Firewall | Technisch | *automatisch* | |
### 5.3 Zugriffskontrolle
Der Zugriff auf personenbezogene Daten ist durch ein rollenbasiertes Berechtigungskonzept (RBAC) auf das erforderliche Minimum beschraenkt (Least-Privilege-Prinzip). Berechtigungen werden nicht personengebunden, sondern ueber definierte Rollen vergeben. Zugriffsrechte werden regelmaessig ueberprueft und bei Personalveraenderungen unverzueglich angepasst.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Dokumentiertes Berechtigungskonzept mit Rollendefinitionen | Organisatorisch | *automatisch* | |
| Least-Privilege-Prinzip fuer alle Datenzugriffe | Organisatorisch | *automatisch* | |
| Anzahl administrativer Zugaenge auf das Notwendige reduziert | Technisch | *automatisch* | |
| Protokollierung von Datenzugriffen (Lesen, Aendern, Loeschen) | Technisch | *automatisch* | |
| Regelmaessige Rechte-Rezertifizierung (mind. jaehrlich + anlassbezogen) | Organisatorisch | *automatisch* | |
| Sofortiger Berechtigungsentzug bei Ausscheiden von Mitarbeitenden | Organisatorisch | *automatisch* | |
| Dokumentierte Vertretungsregelungen mit begrenzten Sonderzugriffen | Organisatorisch | *automatisch* | |
| Ordnungsgemaesse Vernichtung von Datentraegern (Verweis Loeschkonzept) | Technisch | *automatisch* | |
### 5.4 Weitergabekontrolle
Personenbezogene Daten werden bei der elektronischen Uebertragung durch Verschluesselung nach dem Stand der Technik geschuetzt. Alle Uebertragungswege (Web, API, E-Mail, Datenbankverbindungen) sind transportverschluesselt. Datentransfers werden protokolliert, sodass nachvollziehbar ist, an welche Stellen personenbezogene Daten uebermittelt wurden.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Transportverschluesselung fuer alle Uebertragungswege (TLS) | Technisch | *automatisch* | |
| VPN fuer standortuebergreifende Verbindungen | Technisch | *automatisch* | |
| Ende-zu-Ende-Verschluesselung fuer besonders schutzwuerdige Daten | Technisch | *automatisch* | |
| Sichere Dateiuebertragung (SFTP/SCP, keine unverschluesselten Protokolle) | Technisch | *automatisch* | |
| Pseudonymisierung/Anonymisierung bei Datenweitergabe wo moeglich | Technisch | *automatisch* | |
| Protokollierung aller Datentransfers (Firewall-Logs, Anwendungsprotokolle) | Technisch | *automatisch* | |
| {{#IF HAS_PHYSICAL_TRANSPORT}} Sichere Transportbehaelter und dokumentierte Uebergabe bei physischem Datentraegertransport {{/IF}} | Organisatorisch | *automatisch* | |
| {{#IF HAS_THIRD_COUNTRY_TRANSFER}} Garantien fuer Drittlandtransfers gemaess Art. 44-49 DSGVO (SCC, Angemessenheitsbeschluss) {{/IF}} | Organisatorisch | *automatisch* | |
### 5.5 Eingabekontrolle
Durch individuelle Benutzerkennungen und systematische Protokollierung ist jederzeit nachvollziehbar, wer personenbezogene Daten eingegeben, veraendert oder geloescht hat. Sammelkennungen oder geteilte Benutzerkonten sind nicht zulaessig. Die Protokollierung beschraenkt sich auf das fuer die Nachvollziehbarkeit erforderliche Mass eine anlasslose Verhaltens- oder Leistungskontrolle von Beschaeftigten findet nicht statt.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Protokollierung aller Eingabe-, Aenderungs- und Loeschvorgaenge mit Benutzerkennung und Zeitstempel | Technisch | *automatisch* | |
| Ausschliesslich individuelle Benutzerkennungen (keine Sammelaccounts) | Organisatorisch | *automatisch* | |
| Differenzierte Rechte fuer Eingabe, Aenderung und Loeschung | Technisch | *automatisch* | |
| Manipulationsschutz der Protokolldaten (zentrale, schreibgeschuetzte Log-Sammlung) | Technisch | *automatisch* | |
| Vier-Augen-Prinzip fuer kritische Datenveraenderungen | Organisatorisch | *automatisch* | |
| Definierte Aufbewahrungsfristen fuer Protokolldaten (Details im Logging-Konzept) | Organisatorisch | *automatisch* | |
### 5.6 Auftragskontrolle
Soweit personenbezogene Daten im Auftrag durch Dritte verarbeitet werden, ist dies durch einen Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO geregelt. Die Auswahl, Pruefung und laufende Ueberwachung von Auftragsverarbeitern erfolgt ueber das Vendor-Compliance-Verfahren. Fernwartungszugriffe mit moeglicher Einsichtnahme in personenbezogene Daten werden wie eine Auftragsverarbeitung behandelt.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| AVV mit allen Auftragsverarbeitern abgeschlossen (Art. 28 DSGVO) | Organisatorisch | *automatisch* | |
| Sorgfaeltige Auswahl und Vorabpruefung der Sicherheitsmassnahmen | Organisatorisch | *automatisch* | |
| Verpflichtung der Mitarbeitenden des Auftragsverarbeiters auf Vertraulichkeit | Organisatorisch | *automatisch* | |
| Vereinbarte Kontrollrechte und regelmaessige Auditierung | Organisatorisch | *automatisch* | |
| Regelung fuer Unterauftragnehmer (Genehmigungsvorbehalt) | Organisatorisch | *automatisch* | |
| Fernwartungszugriffe vertraglich geregelt und protokolliert | Technisch | *automatisch* | |
| Datenrueckgabe und -loeschung bei Auftragsende vertraglich gesichert | Organisatorisch | *automatisch* | |
*Detaillierte Regelungen: siehe AVV-Vorlage und Vendor-Compliance-Modul*
### 5.7 Pseudonymisierung und Verschluesselung (Art. 32 Abs. 1 lit. a DSGVO)
Personenbezogene Daten werden, soweit der Verarbeitungszweck dies zulaesst, pseudonymisiert. Dadurch ist ohne Hinzuziehung gesondert aufbewahrter Zuordnungsinformationen kein Rueckschluss auf die betroffene Person moeglich. Zum Schutz vor unbefugtem Zugriff werden Daten sowohl bei der Uebertragung (Transport) als auch bei der Speicherung (Data at Rest) durch Verschluesselung nach dem Stand der Technik gesichert. Die eingesetzten Algorithmen und Protokolle werden regelmaessig anhand aktueller Empfehlungen (insb. BSI TR-02102) ueberprueft.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.8 Verfuegbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Systeme und Dienste sind so ausgelegt, dass die Verfuegbarkeit personenbezogener Daten auch bei erhoehter Last, Teilausfaellen oder physischen Einwirkungen gewaehrleistet bleibt. Die Infrastruktur wird kontinuierlich ueberwacht; bei Stoerungen erfolgt eine automatische Alarmierung.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Unterbrechungsfreie Stromversorgung (USV) fuer kritische Systeme | Technisch | *automatisch* | |
| Klimatisierung der Serverraeume | Technisch | *automatisch* | |
| Ueberspannungsschutz | Technisch | *automatisch* | |
| Brand- und Rauchmeldeanlage mit Feuerloescheinrichtung | Technisch | *automatisch* | |
| Schutz vor Wasserschaeden (Standortwahl, Leckage-Sensoren) | Technisch | *automatisch* | |
| Redundante Systemauslegung fuer kritische Komponenten (N+1) | Technisch | *automatisch* | |
| Monitoring und automatische Alarmierung bei Verfuegbarkeitsstoerungen | Technisch | *automatisch* | |
| Dokumentiertes Backup-Konzept mit definierten Sicherungsintervallen | Organisatorisch | *automatisch* | |
| Ausgelagerte Aufbewahrung von Datensicherungen | Technisch | *automatisch* | |
*Wiederherstellungsverfahren und Notfallplan: siehe Abschnitt 5.9*
### 5.9 Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
Im Falle eines technischen Zwischenfalls oder eines Sicherheitsvorfalls (z.B. Ransomware-Angriff) ist die rasche Wiederherstellung der Verfuegbarkeit personenbezogener Daten gewaehrleistet. Hierzu werden dokumentierte Backup- und Recovery-Verfahren vorgehalten und deren Wirksamkeit durch regelmaessige Restore-Tests ueberprueft.
Detaillierte Wiederherstellungszeitziele (RTO/RPO) sind im Backup-Recovery-Konzept definiert. Der Notfallplan regelt die organisatorischen Ablaeufe im Ernstfall.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |
### 5.10 Ueberpruefung und Bewertung (Art. 32 Abs. 1 lit. d DSGVO)
Die Wirksamkeit aller technischen und organisatorischen Massnahmen wird regelmaessig ueberprueft und bewertet. Die Ergebnisse fliessen in die kontinuierliche Verbesserung des Datenschutz-Managementsystems ein.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Regelmaessige interne Datenschutz-Audits | Organisatorisch | *automatisch* | |
| Regelmaessiges Patch Management aller eingesetzten Systeme und Software | Technisch | *automatisch* | |
| Penetrationstests und Schwachstellenanalysen (mind. jaehrlich) | Technisch | *automatisch* | |
| Auswertung von Sicherheitsvorfaellen und Ableitung von Verbesserungsmassnahmen | Organisatorisch | *automatisch* | |
| Regelmaessige Ueberpruefung der Berechtigungen und Zugriffsrechte | Organisatorisch | *automatisch* | |
| Dokumentation aller Pruefergebnisse und Massnahmen | Organisatorisch | *automatisch* | |
### 5.11 Trennungskontrolle
Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden getrennt verarbeitet (Art. 5 Abs. 1 lit. b DSGVO). Bei mandantenfaehigen Systemen ist gewaehrleistet, dass Mandanten ausschliesslich auf eigene Daten zugreifen koennen. Die Wirksamkeit der Trennung wird regelmaessig ueberprueft.
| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Logische Mandantentrennung in allen Anwendungen und Datenbanken | Technisch | *automatisch* | |
| Festlegung separater Datenbankrechte je Mandant/Zweck | Technisch | *automatisch* | |
| Strikte Trennung von Produktiv-, Test- und Entwicklungsumgebungen | Technisch | *automatisch* | |
| Keine personenbezogenen Echtdaten in Test- oder Entwicklungsumgebungen | Organisatorisch | *automatisch* | |
| Regelmaessige Pruefung der Mandantentrennung (Soll-Ist-Abgleich) | Organisatorisch | *automatisch* | |
| {{#IF HAS_CLOUD_SERVICES}} Nachweis der Mandantentrennung beim Cloud-Anbieter eingefordert und dokumentiert {{/IF}} | Organisatorisch | *automatisch* | |
---
## 6. SDM Gewaehrleistungsziele
Das Standard-Datenschutzmodell (SDM) definiert sieben Gewaehrleistungsziele. Die implementierten Massnahmen decken folgende Ziele ab:
| Gewaehrleistungsziel | Abgedeckt | Gesamt | Abdeckung (%) |
|----------------------|-----------|--------|---------------|
| Verfuegbarkeit | *automatisch* | | |
| Integritaet | *automatisch* | | |
| Vertraulichkeit | *automatisch* | | |
| Nichtverkettung | *automatisch* | | |
| Intervenierbarkeit | *automatisch* | | |
| Transparenz | *automatisch* | | |
| Datenminimierung | *automatisch* | | |
---
## 7. Verantwortlichkeiten
| Rolle | Aufgabe |
|-------|---------|
| Geschaeftsfuehrung ({{GF_NAME}}) | Gesamtverantwortung, Freigabe der TOM-Dokumentation |
| IT-Sicherheitsbeauftragter ({{ISB_NAME}}) | Pflege und Umsetzung technischer Massnahmen |
| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung, Beratung, Compliance-Check |
| Fachabteilungen | Umsetzung organisatorischer Massnahmen, Meldepflicht |
---
## 8. Compliance-Status
*Der aktuelle Compliance-Score wird vom TOM-Modul automatisch berechnet und enthaelt Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).*
| Kennzahl | Wert |
|----------|------|
| Gepruefte Massnahmen | *automatisch* |
| Bestanden | *automatisch* |
| Beanstandungen | *automatisch* |
---
## 9. Pruef- und Revisionszyklus
| Eigenschaft | Wert |
|-------------|------|
| Pruefintervall | Jaehrlich |
| Letzte Pruefung | {{VERSION_DATE}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
| Aktuelle Version | {{DOCUMENT_VERSION}} |
### Pruefpunkte
- Vollstaendigkeit aller Massnahmen (neue Systeme oder Verarbeitungen erfasst?)
- Aktualitaet des Umsetzungsstatus (Aenderungen seit letzter Pruefung?)
- Wirksamkeit der technischen Massnahmen (Penetration-Tests, Audit-Ergebnisse)
- Angemessenheit der organisatorischen Massnahmen (Schulungen, Richtlinien aktuell?)
- Abdeckung aller SDM-Gewaehrleistungsziele
- Zuordnung von Verantwortlichkeiten zu allen Massnahmen
- Wirksamkeit der Mandantentrennung (Soll-Ist-Abgleich)
---
*Dieses Dokument wird automatisch vom TOM-Modul generiert und enthaelt alle erfassten technischen und organisatorischen Massnahmen nach Art. 32 DSGVO.*
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}*
$template$,
version = '2.0.0',
description = 'Dokumentation aller technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO. Erweitert um Verhaeltnismaessigkeitsgrundsatz, AVV-Kontext, konkrete Massnahmenkataloge mit 11 Kategorien (inkl. Trennungskontrolle), Abgrenzung zu IT-Sicherheitskonzept und Loeschkonzept.',
updated_at = NOW()
WHERE document_type = 'tom_documentation'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/088_avv_template.sql
+276
View File
@@ -0,0 +1,276 @@
-- Migration 088: AVV-Template (Auftragsverarbeitungsvertrag Art. 28 DSGVO)
-- Komplett neues Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Enthält {{#IF}} Bloecke fuer optionale Klauseln
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'dpa',
'Auftragsverarbeitungsvertrag (Art. 28 DSGVO)',
'Vollstaendiger Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO mit 11 Paragraphen und 3 Anlagen (TOM, Unterauftragnehmer, Weisungsberechtigte). Enthält optionale Klauseln fuer Drittlandtransfer, Haftungsschutz, Kuendigungsrechte und Kostenregelungen.',
$template$# Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO
zwischen dem Verantwortlichen
**{{AG_NAME}}**
{{AG_STRASSE}}
{{AG_PLZ_ORT}}
(im Folgenden Auftraggeber")
und dem Auftragsverarbeiter
**{{AN_NAME}}**
{{AN_STRASSE}}
{{AN_PLZ_ORT}}
(im Folgenden „Auftragnehmer")
(Auftraggeber und Auftragnehmer zusammen als Parteien" bezeichnet)
---
## 1. Vertragsgegenstand und Rahmenbedingungen
1.1 Fuer diesen Vertrag zur Auftragsverarbeitung gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (DSGVO), insbesondere Art. 4 DSGVO.
1.2 {{AN_NAME}} verarbeitet im Rahmen des zwischen den Parteien geschlossenen Hauptvertrags personenbezogene Daten im Auftrag des Auftraggebers gemaess Art. 28 DSGVO. Gegenstand, Art, Zweck und Dauer der Verarbeitung ergeben sich aus dem Hauptvertrag und den folgenden Festlegungen:
| Festlegung | Beschreibung |
|-----------|-------------|
| **Gegenstand** | {{VERARBEITUNGSGEGENSTAND}} |
| **Zweck** | {{VERARBEITUNGSZWECK}} |
| **Art der Verarbeitung** | {{VERARBEITUNGSARTEN}} |
| **Dauer** | Fuer die Laufzeit des Hauptvertrags, sofern nicht anders vereinbart |
1.3 Folgende Kategorien personenbezogener Daten werden verarbeitet:
{{DATENKATEGORIEN}}
1.4 Folgende Kategorien betroffener Personen sind betroffen:
{{PERSONENKATEGORIEN}}
1.5 Die Verarbeitung findet ausschliesslich innerhalb der EU/des EWR statt. Eine Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und setzt die Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO voraus.
{{#IF THIRD_COUNTRY_OBJECTION_PERIOD}}
Alternativ: Der Auftragnehmer informiert den Auftraggeber ueber eine beabsichtigte Verlagerung in ein Drittland in Textform. Der Auftraggeber kann innerhalb von {{THIRD_COUNTRY_OBJECTION_WEEKS}} Wochen begruendet widersprechen. Die Verlagerung darf nur bei Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO erfolgen.
{{/IF}}
---
## 2. Laufzeit und Kuendigung
2.1 Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags. Soweit nach Beendigung des Hauptvertrags personenbezogene Daten des Auftraggebers beim Auftragnehmer verbleiben, gilt dieser Vertrag bis zur vollstaendigen Loeschung oder Rueckgabe der Daten fort.
2.2 Das Recht auf ausserordentliche fristlose Kuendigung aus wichtigem Grund bleibt hiervon unberuehrt. Ein wichtiger Grund liegt insbesondere vor, wenn der Auftragnehmer gegen wesentliche Bestimmungen dieses Vertrags oder datenschutzrechtliche Vorschriften verstoesst.
2.3 Die Rechte und Pflichten zur Loeschung und Rueckgabe der Daten nach Vertragsende richten sich nach § 10 dieses Vertrags.
---
## 3. Rechte und Pflichten des Auftraggebers
3.1 Die Verarbeitung der vertragsgegenstaendlichen Daten durch den Auftragnehmer erfolgt ausschliesslich auf Grundlage der vertraglichen Vereinbarungen und der Weisungen des Auftraggebers. Eine abweichende Verarbeitung ist nur aufgrund zwingender europaeischer oder mitgliedsstaatlicher Rechtsvorschriften zulaessig. Ist eine solche Verarbeitung erforderlich, teilt der Auftragnehmer dies dem Auftraggeber vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen oeffentlichen Interesses verbietet.
3.2 Fuer die Beurteilung der Zulaessigkeit der Verarbeitung gemaess Art. 6 DSGVO sowie fuer die Wahrung der Rechte der betroffenen Personen nach Art. 12-22 DSGVO ist allein der Auftraggeber verantwortlich. Aenderungen des Verarbeitungsgegenstands oder der Verarbeitungstaetigkeiten sind gemeinsam abzustimmen und in Textform festzulegen.
3.3 Der Auftraggeber stellt sicher, dass dem Auftragnehmer personenbezogene Daten nur im Rahmen der vereinbarten Leistungserbringung zukommen.
3.4 Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Datenschutzvorschriften vor Beginn und waehrend der Vertragslaufzeit — nach vorheriger Terminvereinbarung — im erforderlichen Umfang zu kontrollieren. Die Kontrollmassnahmen muessen verhaeltnismaessig sein und den Betrieb des Auftragnehmers nicht ueber das erforderliche Mass beeintraechtigen. Die Ergebnisse der Kontrollen werden protokolliert.
3.5 Die Parteien behandeln alle im Rahmen des Vertragsverhaeltnisses erlangten Kenntnisse von Geschaeftsgeheimnissen und Datensicherheitsmassnahmen vertraulich. Diese Verpflichtung besteht auch nach Beendigung dieses Vertrags fort.
---
## 4. Weisungsbefugnisse des Auftraggebers
4.1 Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitaeten der Datenverarbeitung zu. Der Auftragnehmer informiert den Auftraggeber unverzueglich, falls eine Weisung nach Auffassung des Auftragnehmers gegen gesetzliche Vorschriften verstoesst. Der Auftragnehmer ist berechtigt, die Ausfuehrung einer solchen Weisung auszusetzen, bis der Auftraggeber diese ausdruecklich bestaetigt oder aendert.
{{#IF LIABILITY_PROTECTION_CLAUSE}}
4.1a Besteht die Moeglichkeit, dass der Auftragnehmer durch das Befolgen einer Weisung einem Haftungsrisiko ausgesetzt wird, kann die Durchfuehrung bis zur Klaerung der Haftung im Innenverhaeltnis ausgesetzt werden.
{{/IF}}
4.2 Weisungen sind grundsaetzlich in Textform (schriftlich oder per E-Mail) zu erteilen. Muendliche Weisungen sind in begruendeten Einzelfaellen zulaessig und vom Auftraggeber unverzueglich in Textform zu bestaetigen. In der Bestaetigung ist zu begruenden, warum keine Weisung in Textform erfolgen konnte. Beide Parteien dokumentieren jede Weisung in Textform. Weisungen sind fuer die Geltungsdauer dieses Vertrags und anschliessend noch fuer {{INSTRUCTION_RETENTION_YEARS}} Jahre aufzubewahren.
4.3 Der Auftraggeber legt die weisungsberechtigten Personen fest. Der Auftragnehmer legt Weisungsempfaenger fest. Die Angaben sind Anlage 3 dieses Vertrags zu entnehmen. Bei einem Wechsel oder einer laengerfristigen Verhinderung sind dem Vertragspartner unverzueglich die Nachfolger oder Vertreter in Textform mitzuteilen.
---
## 5. Vertraulichkeit
5.1 Der Auftragnehmer bestaetigt, dass ihm die fuer die Auftragsverarbeitung massgeblichen datenschutzrechtlichen Vorschriften bekannt sind.
5.2 Der Auftragnehmer wahrt bei der Verarbeitung personenbezogener Daten des Auftraggebers die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertrags fort.
5.3 Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung betrauten Beschaeftigten auf die Vertraulichkeit verpflichtet wurden (Art. 28 Abs. 3 S. 2 lit. b DSGVO) oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Verpflichtung besteht auch nach Beendigung des Beschaeftigungsverhaeltnisses fort. Die Beschaeftigten werden regelmaessig mit den fuer sie massgeblichen Datenschutzbestimmungen vertraut gemacht. Der Auftragnehmer ueberwacht die Einhaltung in seinem Unternehmen.
5.4 Der Auftragnehmer erteilt Betroffenen oder Dritten ohne vorherige Zustimmung des Auftraggebers keine Auskuenfte ueber die vertragsgegenstaendlichen Daten. Anfragen von Betroffenen leitet der Auftragnehmer unverzueglich an den Auftraggeber weiter (Details siehe § 9.3).
---
## 6. Technische und organisatorische Massnahmen
6.1 Der Auftragnehmer hat die in Anlage 1 beschriebenen technischen und organisatorischen Massnahmen unter Beachtung von Art. 32 DSGVO festgelegt. Sie gewaehrleisten ein dem Risiko der Verarbeitung angemessenes Schutzniveau.
6.2 Die Massnahmen koennen im Laufe des Auftragsverhaeltnisses an den Stand der Technik angepasst werden. Das Schutzniveau darf dabei nicht unterschritten werden. Wesentliche Aenderungen teilt der Auftragnehmer dem Auftraggeber vorab mit.
6.3 Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der vereinbarten Massnahmen zur Verfuegung (Art. 28 Abs. 3 S. 2 lit. h DSGVO).
---
## 7. Unterstuetzungspflichten des Auftragnehmers
7.1 Der Auftragnehmer unterstuetzt den Auftraggeber bei der Erfuellung der Betroffenenrechte nach Art. 12-22 DSGVO (Art. 28 Abs. 3 S. 2 lit. e DSGVO). Dies umfasst insbesondere die Bereitstellung der fuer Auskuenfte erforderlichen Daten, die Durchfuehrung von Loeschungen, Berichtigungen und Einschraenkungen der Verarbeitung sowie die Bereitstellung von Datenexporten (Art. 20 DSGVO).
7.2 Der Auftragnehmer unterstuetzt den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO (Art. 28 Abs. 3 S. 2 lit. f DSGVO), insbesondere bei:
- der Sicherstellung geeigneter technischer und organisatorischer Massnahmen (Art. 32),
- der Meldung von Datenschutzverletzungen an die Aufsichtsbehoerde (Art. 33),
- der Benachrichtigung betroffener Personen (Art. 34),
- der Durchfuehrung von Datenschutz-Folgenabschaetzungen (Art. 35),
- der vorherigen Konsultation der Aufsichtsbehoerde (Art. 36).
7.3 Die Reichweite der Unterstuetzungspflichten bestimmt sich nach der Art der Verarbeitung und den dem Auftragnehmer zur Verfuegung stehenden Informationen.
{{#IF SUPPORT_COST_CLAUSE}}
7.4 Unterstuetzungsleistungen, die ueber den vertraglich vereinbarten Umfang hinausgehen, erfolgen gegen angemessene Aufwandsentschaedigung.
{{/IF}}
---
## 8. Einsatz von Unterauftragsverarbeitern
8.1 Der Auftragnehmer ist zum Einsatz von Unterauftragsverarbeitern berechtigt. Die bei Vertragsschluss bestehenden Unterauftragsverhaeltnisse sind in Anlage 2 aufgefuehrt. Der Auftraggeber erteilt seine Zustimmung zu den dort genannten Unterauftragsverarbeitern.
8.2 Der Auftragnehmer informiert den Auftraggeber ueber beabsichtigte Aenderungen bei Unterauftragsverarbeitern mindestens {{SUB_PROCESSOR_NOTICE_WEEKS}} Wochen vor deren Einsatz in Textform. Die Information umfasst Name, Sitz, Taetigkeit und getroffene Datenschutzmassnahmen des Unterauftragsverarbeiters. Der Auftraggeber kann der Hinzuziehung innerhalb von {{SUB_PROCESSOR_OBJECTION_WEEKS}} Wochen nach Zugang der Information begruendet widersprechen. Erfolgt ein fristgerechter begruendeter Widerspruch, duerfen die betroffenen Unterauftragsverarbeiter nicht eingesetzt werden.
{{#IF SUB_PROCESSOR_SILENCE_APPROVAL}}
8.2a Erfolgt innerhalb der Widerspruchsfrist kein Widerspruch, gilt die Hinzuziehung als genehmigt.
{{/IF}}
{{#IF SUB_PROCESSOR_TERMINATION_RIGHT}}
8.3 Bei begruendetem Widerspruch, ueber den keine Einigung erzielt werden kann, sind beide Parteien berechtigt, den Hauptvertrag und diesen AVV mit einer Frist von {{TERMINATION_WEEKS}} Wochen zu kuendigen.
{{/IF}}
8.4 Der Auftragnehmer waehlt Unterauftragsverarbeiter unter Beruecksichtigung der Eignung ihrer technischen und organisatorischen Massnahmen sorgfaeltig aus. Alle Vertraege mit Unterauftragsverarbeitern genuegen den Anforderungen des Art. 28 DSGVO.
8.5 Der Einsatz von Unterauftragsverarbeitern in Drittstaaten setzt die Erfuellung der Voraussetzungen nach Art. 44 ff. DSGVO voraus.
8.6 Der Auftragnehmer haftet gegenueber dem Auftraggeber fuer die Einhaltung der Datenschutzpflichten durch seine Unterauftragsverarbeiter wie fuer eigenes Handeln (Art. 28 Abs. 4 DSGVO).
8.7 Der Auftraggeber hat gegenueber dem Unterauftragsverarbeiter dieselben Weisungs- und Kontrollrechte wie gegenueber dem Auftragnehmer.
---
## 9. Informationspflichten des Auftragnehmers
9.1 Der Auftragnehmer informiert den Auftraggeber unverzueglich ueber Verstoesse gegen diesen Vertrag, gegen Weisungen des Auftraggebers oder gegen datenschutzrechtliche Vorschriften. Dies gilt auch bei begruendetem Verdacht sowie unabhaengig davon, ob der Verstoss durch den Auftragnehmer selbst, dessen Beschaeftigte, Unterauftragsverarbeiter oder sonstige eingesetzte Personen verursacht wurde.
9.2 Datenschutzverletzungen im Sinne von Art. 4 Nr. 12 DSGVO meldet der Auftragnehmer dem Auftraggeber unverzueglich, spaetestens jedoch innerhalb von **{{BREACH_NOTIFICATION_HOURS}} Stunden** nach Kenntniserlangung. Die Meldung umfasst mindestens:
- die Art der Verletzung,
- die betroffenen Datenkategorien und die ungefaehre Anzahl betroffener Personen,
- die wahrscheinlichen Folgen der Verletzung,
- die ergriffenen oder vorgeschlagenen Abhilfemassnahmen.
9.3 Anfragen betroffener Personen, Behoerden oder Dritter, die sich auf die vertragsgegenstaendliche Datenverarbeitung beziehen, leitet der Auftragnehmer unverzueglich an den Auftraggeber weiter. Der Auftragnehmer erteilt ohne vorherige Abstimmung mit dem Auftraggeber keine inhaltlichen Auskuenfte.
9.4 Der Auftragnehmer informiert den Auftraggeber unverzueglich ueber bevorstehende Aufsichtshandlungen oder Massnahmen einer Behoerde, soweit sie die vertragsgegenstaendliche Verarbeitung betreffen. Gleiches gilt fuer Ereignisse oder Massnahmen Dritter, durch die die vertragsgegenstaendlichen Daten gefaehrdet werden koennten.
---
## 10. Vertragsbeendigung, Loeschung und Rueckgabe der Daten
{{#IF REACTIVATION_PERIOD}}
10.1 Dieser Vertrag gilt nach Beendigung des Hauptvertrags fuer {{REACTIVATION_MONTHS}} Monate fort, um eine Reaktivierung zu ermoeglichen. Danach gelten die folgenden Loeschpflichten.
{{/IF}}
10.2 Nach Beendigung der Verarbeitung hat der Auftragnehmer saemtliche personenbezogene Daten des Auftraggebers nach dessen Wahl zu loeschen oder in einem gaengigen, maschinenlesbaren Format ({{DATA_EXPORT_FORMAT}}) zurueckzugeben (Art. 28 Abs. 3 S. 2 lit. g DSGVO). Der Auftraggeber teilt seine Wahl innerhalb von {{RETURN_CHOICE_WEEKS}} Wochen nach Vertragsende mit. Erfolgt keine Erklaerung, werden die Daten geloescht.
10.3 Die Loeschung erfolgt spaetestens {{DELETION_DAYS}} Tage nach Vertragsende, sofern keine vorrangigen gesetzlichen Aufbewahrungspflichten bestehen. Eine fruehere Loeschung ist auf Wunsch des Auftraggebers moeglich.
10.4 Der Auftragnehmer bestaetigt dem Auftraggeber die vollstaendige Loeschung in Textform und stellt auf Anfrage einen Loeschnachweis zur Verfuegung. Die Loeschpflicht erstreckt sich auch auf Daten bei Unterauftragsverarbeitern.
{{#IF RETURN_COST_CLAUSE}}
10.5 Die Uebersendung der Daten stellt eine zusaetzliche Unterstuetzungsleistung dar, fuer die der Auftragnehmer eine angemessene Verguetung verlangen darf.
{{/IF}}
---
## 11. Schlussbestimmungen
11.1 Es gilt das Recht der Bundesrepublik Deutschland. {{#IF GERICHTSSTAND_CLAUSE}} Gerichtsstand fuer alle Streitigkeiten aus diesem Vertrag ist {{GERICHTSSTAND}}, sofern beide Parteien Kaufleute oder juristische Personen des oeffentlichen Rechts sind. {{/IF}}
11.2 Soweit die Verarbeitung personenbezogener Daten betroffen ist, gehen die Regelungen dieses Vertrags den Regelungen des Hauptvertrags vor.
11.3 Aenderungen und Ergaenzungen dieses Vertrags beduerfender Schriftform oder eines dokumentierten elektronischen Formats. Dies gilt auch fuer den Verzicht auf dieses Formerfordernis.
11.4 Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, so beruehrt dies die Wirksamkeit der uebrigen Bestimmungen nicht. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die dem Vertragszweck am naechsten kommt.
11.5 Datenschutzbeauftragter des Auftragnehmers: {{AN_DSB_NAME}}, erreichbar unter {{AN_DSB_EMAIL}}.
{{#IF UNILATERAL_CHANGE_RIGHT}}
*Hinweis: Dieses einseitige Aenderungsrecht ist AGB-rechtlich umstritten und sollte nur in begruendeten Faellen aktiviert werden.*
11.6 Der Auftragnehmer ist berechtigt, diesen Vertrag aus sachlich gerechtfertigten Gruenden und unter Einhaltung einer Frist von {{CHANGE_NOTICE_WEEKS}} Wochen zu aendern. Der Auftraggeber wird hierueber in Textform benachrichtigt. Im Falle eines begruendeten Widerspruchs ist der Auftragnehmer berechtigt, den Vertrag zum Zeitpunkt des Inkrafttretens der Aenderung ausserordentlich zu kuendigen.
{{/IF}}
---
{{AG_ORT}}, den {{VERTRAGSDATUM}}
\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
{{AG_UNTERZEICHNER_NAME}}
({{AG_UNTERZEICHNER_FUNKTION}})
fuer den Auftraggeber
{{AN_ORT}}, den {{VERTRAGSDATUM}}
\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
{{AN_UNTERZEICHNER_NAME}}
({{AN_UNTERZEICHNER_FUNKTION}})
fuer den Auftragnehmer
---
## Anlagen
| Nr. | Bezeichnung |
|-----|-------------|
| Anlage 1 | Technische und organisatorische Massnahmen (Art. 32 DSGVO) |
| Anlage 2 | Unterauftragsverarbeiter |
| Anlage 3 | Weisungsberechtigte und Weisungsempfaenger |
*Erstellt mit BreakPilot Compliance — Stand: {{VERTRAGSDATUM}}*
$template$,
'["AG_NAME","AG_STRASSE","AG_PLZ_ORT","AN_NAME","AN_STRASSE","AN_PLZ_ORT","VERARBEITUNGSGEGENSTAND","VERARBEITUNGSZWECK","VERARBEITUNGSARTEN","DATENKATEGORIEN","PERSONENKATEGORIEN","SUB_PROCESSOR_NOTICE_WEEKS","SUB_PROCESSOR_OBJECTION_WEEKS","BREACH_NOTIFICATION_HOURS","INSTRUCTION_RETENTION_YEARS","DATA_EXPORT_FORMAT","RETURN_CHOICE_WEEKS","DELETION_DAYS","AN_DSB_NAME","AN_DSB_EMAIL","AG_ORT","AN_ORT","VERTRAGSDATUM","AG_UNTERZEICHNER_NAME","AG_UNTERZEICHNER_FUNKTION","AN_UNTERZEICHNER_NAME","AN_UNTERZEICHNER_FUNKTION","GERICHTSSTAND","REACTIVATION_MONTHS","TERMINATION_WEEKS","CHANGE_NOTICE_WEEKS","THIRD_COUNTRY_OBJECTION_WEEKS"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'dpa'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND version = '1.0.0'
AND content IS NOT NULL
AND length(content) > 1000
);
-- Falls ein leerer/minimaler dpa-Eintrag existiert, updaten statt insert
UPDATE compliance_legal_templates
SET
title = 'Auftragsverarbeitungsvertrag (Art. 28 DSGVO)',
description = 'Vollstaendiger Vertrag zur Auftragsverarbeitung gemaess Art. 28 DSGVO mit 11 Paragraphen und 3 Anlagen (TOM, Unterauftragnehmer, Weisungsberechtigte). Enthält optionale Klauseln fuer Drittlandtransfer, Haftungsschutz, Kuendigungsrechte und Kostenregelungen.',
version = '2.0.0',
updated_at = NOW()
WHERE document_type = 'dpa'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
AND (content IS NULL OR length(content) < 1000);
backend-compliance/migrations/089_template_cross_doc_updates.sql
+90
View File
@@ -0,0 +1,90 @@
-- Migration 089: Cross-Document Updates aus TOM/AVV-Review
-- Verschiebungsliste: Inhalte die in andere Templates gehoeren
-- Quelle: TOM-Review 2026-04-30
-- ===========================================================================
-- 1. Loeschkonzept: DIN 66399 Details + Backup-Aufbewahrung ergaenzen
-- ===========================================================================
-- Erweitert Abschnitt 4 (Loeschmethoden) um DIN 66399 Sicherheitsstufen
-- Erweitert um neuen Abschnitt zur Backup-Einbeziehung in den Loeschzyklus
UPDATE compliance_legal_templates
SET content = REPLACE(
content,
'| **Physische Vernichtung** | Physische Zerstoerung der Datentraeger (Shredding, Degaussing) | Datentraeger-Entsorgung |',
'| **Physische Vernichtung** | Physische Zerstoerung der Datentraeger nach DIN 66399 (siehe Sicherheitsstufen unten) | Datentraeger-Entsorgung |'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'loeschkonzept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- Fuege DIN 66399 Sicherheitsstufen nach der Loeschmethoden-Tabelle ein
UPDATE compliance_legal_templates
SET content = REPLACE(
content,
'| **Kryptographische Loeschung** | Vernichtung der Schluessel bei verschluesselten Daten | Cloud-Umgebungen, verschluesselte Backups |
---',
'| **Kryptographische Loeschung** | Vernichtung der Schluessel bei verschluesselten Daten | Cloud-Umgebungen, verschluesselte Backups |
### Sicherheitsstufen nach DIN 66399
Die Vernichtung physischer Datentraeger erfolgt gemaess DIN 66399. Die Sicherheitsstufe richtet sich nach dem Schutzbedarf der gespeicherten Daten:
| Stufe | Schutzbedarf | Anwendung |
|-------|-------------|-----------|
| 1-2 | Normal | Allgemeine interne Daten ohne Personenbezug |
| 3 | Erhoehter Schutzbedarf | Personenbezogene Daten (Standard fuer DSGVO) |
| 4-5 | Hoher Schutzbedarf | Besondere Kategorien (Art. 9 DSGVO), Gesundheitsdaten |
| 6-7 | Sehr hoher Schutzbedarf | Geheimhaltungspflichtige Daten, nachrichtendienstliche Sicherheit |
**Mindeststandard:** Fuer personenbezogene Daten wird grundsaetzlich mindestens Sicherheitsstufe 3 angewendet. Bei besonderen Kategorien nach Art. 9 DSGVO ist mindestens Stufe 4 erforderlich.
### Einbeziehung von Backups in den Loeschzyklus
Loeschpflichten erstrecken sich auch auf Datensicherungen (Backups). Die Loeschung in Backups erfolgt:
- **Automatisch:** Durch rollierende Backup-Zyklen, bei denen aeltere Sicherungen nach Ablauf der Aufbewahrungsfrist ueberschrieben werden
- **Manuell:** Bei Einzelloeschungsanfragen (Art. 17 DSGVO) wird die Loeschung in den Backup-Medien zum naechsten planmaessigen Ueberschreibungszeitpunkt durchgefuehrt
- **Dokumentiert:** Aufbewahrungsfristen fuer Backups sind im Backup-Recovery-Konzept definiert und im Loeschfristen-Modul verknuepft
**Hinweis:** Verschluesselte Backups koennen alternativ durch kryptographische Loeschung (Schluesselvernichtung) unwiderruflich unzugaenglich gemacht werden.
---'
)
WHERE document_type = 'loeschkonzept'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- ===========================================================================
-- 2. VVT-Register: Empfaenger-Dokumentation erweitern
-- ===========================================================================
-- Erweitert die Pflichtangaben-Tabelle um detailliertere Empfaenger-Dokumentation
UPDATE compliance_legal_templates
SET content = REPLACE(
content,
'| **Empfaengerkategorien** | Intern, extern, Auftragsverarbeiter, Behoerden |',
'| **Empfaengerkategorien** | Intern (Fachabteilungen), extern (Kunden, Partner), Auftragsverarbeiter (Art. 28), Behoerden (Art. 6 Abs. 1 lit. c/e) |'
),
version = '1.1.0',
updated_at = NOW()
WHERE document_type = 'vvt_register'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
-- Erweitert die Detailkarten-Beschreibung um Empfaenger-Details
UPDATE compliance_legal_templates
SET content = REPLACE(
content,
'- Strukturierte TOMs nach Kategorie (Zugriffskontrolle, Vertraulichkeit, Integritaet, Verfuegbarkeit, Trennbarkeit)
- Schutzniveau und Deployment-Modell',
'- Strukturierte TOMs nach Kategorie (Zugriffskontrolle, Vertraulichkeit, Integritaet, Verfuegbarkeit, Trennbarkeit)
- Schutzniveau und Deployment-Modell
- Empfaenger-Details: Name/Kategorie des Empfaengers, Rechtsgrundlage der Uebermittlung, vereinbarte Loeschfristen beim Empfaenger
- Bei Auftragsverarbeitern: Verweis auf AVV und Vendor-Compliance-Eintrag'
)
WHERE document_type = 'vvt_register'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/090_agb_saas_v2.sql
+397
View File
@@ -0,0 +1,397 @@
-- Migration 090: AGB SaaS v2
-- Ueberarbeitetes Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Aenderungen: B2B-only Option, B2B2C Drei-Parteien, Testphase, Sperrung,
-- Vertraulichkeit, Force Majeure, § 312k BGB, Fehlerkategorien,
-- IP-Indemnification, § 536a BGB, Preisanpassung, Wartungszugang
UPDATE compliance_legal_templates
SET
content = $template$# Allgemeine Geschaeftsbedingungen (AGB)
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## § 1 Geltungsbereich
(1) Diese AGB gelten fuer alle Vertraege zwischen {{COMPANY_LEGAL_NAME}} (Anbieter") und Kunden ueber die Nutzung von **{{SERVICE_NAME}}**.
(2) Abweichende Kundenbedingungen werden nicht Vertragsbestandteil, es sei denn, der Anbieter stimmt ihnen ausdruecklich zu. Individuell vereinbarte Leistungen gehen den Regelungen dieser AGB vor.
{{#IF B2B_ONLY}}
(3) Diese AGB richten sich ausschliesslich an Unternehmer im Sinne von § 14 BGB. Vertraege mit Verbrauchern (§ 13 BGB) werden nicht geschlossen.
{{/IF}}
{{#IF_NOT B2B_ONLY}}
(3) Diese AGB gelten gegenueber Unternehmern und Verbrauchern, soweit nicht ausdruecklich unterschieden.
{{/IF_NOT}}
---
## § 2 Leistungsbeschreibung
(1) Der Anbieter stellt **{{SERVICE_NAME}}** als webbasierte Software (Software as a Service) einschliesslich Wartung und Pflege zur Verfuegung: {{SERVICE_DESCRIPTION_SHORT}}.
(2) Umfang und Systemvoraussetzungen ergeben sich aus der jeweils aktuellen Leistungsbeschreibung.
{{#IF HAS_MODULAR_PACKAGES}}
(3) Die Software wird in verschiedenen Leistungspaketen mit unterschiedlichem Funktionsumfang angeboten. Der konkrete Leistungsumfang und das Preismodell ergeben sich aus dem gewaehlten Paket.
{{/IF}}
{{#IF HAS_STORAGE}}
(4) Im Rahmen der Nutzung wird dem Kunden Speicherplatz fuer seine Daten bereitgestellt. {{#IF HAS_STORAGE_LIMITS}} Umfang und Kontingente ergeben sich aus dem gewaehlten Leistungspaket. {{/IF}}
{{/IF}}
{{#IF HAS_END_USERS}}
(5) Der Kunde kann die Software seinen Endkunden (nachfolgend „Nutzer") im Rahmen des Vertragszwecks zur Verfuegung stellen. Ein Vertragsverhaeltnis zwischen dem Anbieter und den Nutzern des Kunden entsteht hierdurch nicht.
{{/IF}}
(6) Der Anbieter prueft die vom Kunden oder dessen Nutzern eingegebenen Daten nicht auf inhaltliche Richtigkeit oder rechtliche Zulaessigkeit. Die inhaltliche Verantwortung liegt beim Kunden.
(7) Der Anbieter ist berechtigt, den Dienst weiterzuentwickeln, sofern Kernfunktionen im Wesentlichen erhalten bleiben.
---
## § 3 Vertragsschluss
(1) Die Darstellung des Dienstes auf der Website oder im Kundenportal ist kein verbindliches Angebot.
(2) Der Vertrag kommt durch Bestaetigung der Bestellung oder Freischaltung des Dienstes zustande.
{{#IF HAS_TRIAL}}
(3) Der Anbieter stellt eine kostenfreie Testphase von {{TRIAL_DAYS}} Tagen zur Verfuegung. Wird das Abonnement nicht innerhalb der Testphase gekuendigt, wird der Vertrag ueber das gewaehlte Paket kostenpflichtig. Der Abschluss eines Auftragsverarbeitungsvertrags (AVV) ist bereits mit Beginn der Testphase erforderlich.
{{/IF}}
---
## § 4 Preise, Abrechnung, Zahlung
{{#IF HAS_PAID_PLANS}}
(1) Es gelten die bei Vertragsschluss vereinbarten Preise: {{PRICES_TEXT}}.
(2) Zahlungsbedingungen: {{PAYMENT_TERMS_TEXT}}.
(3) Preise gegenueber Verbrauchern inkl. gesetzl. USt.; gegenueber Unternehmern zzgl. USt.
(4) Bei Zahlungsverzug: gesetzliche Verzugszinsen; gegenueber Unternehmern 9 Prozentpunkte ueber Basiszinssatz (§ 288 Abs. 2 BGB).
(5) Zusatzleistungen, die ueber den vereinbarten Leistungsumfang hinausgehen (z.B. Fehlerbeseitigung aufgrund unsachgemaesser Handhabung, individuelle Anpassungen), beduerfen einer gesonderten Beauftragung und Verguetung.
{{#IF HAS_PRICE_ADJUSTMENT}}
(6) Der Anbieter kann die vereinbarte Verguetung nach billigem Ermessen anpassen, wenn die auf den Vertrag entfallenden Kosten aufgrund von nach Vertragsschluss eingetretenen, nicht vorhersehbaren Umstaenden steigen oder fallen. Preiserhoehungen duerfen nur einmal pro Kalenderjahr erfolgen und nur soweit, als der Anbieter dadurch keine ueber die Kostendeckung hinausgehenden Gewinne erzielt. Bei nicht voruebergehenden Kostensenkungen ist der Anbieter zu entsprechenden Preissenkungen verpflichtet.
(7) Der Kunde wird ueber Preisaenderungen mindestens {{PRICE_ADJUSTMENT_NOTICE_WEEKS}} Wochen vor Inkrafttreten in Textform informiert. Bei Preiserhoehungen steht dem Kunden ein Sonderkuendigungsrecht mit Wirkung zum Zeitpunkt des Inkrafttretens zu. Der Anbieter weist in der Mitteilung auf das Kuendigungsrecht und die Kuendigungsfrist hin.
{{/IF}}
{{/IF}}
{{#IF_NOT HAS_PAID_PLANS}}
(1) Der Dienst wird derzeit unentgeltlich angeboten. Der Anbieter behaelt sich vor, kostenpflichtige Leistungsstufen einzufuehren.
{{/IF_NOT}}
---
## § 5 Pflichten des Kunden
(1) Der Kunde hat bei Registrierung richtige Angaben zu machen und diese aktuell zu halten.
(2) Zugangsdaten sind vertraulich zu behandeln. Der Kunde stellt sicher, dass unbefugte Dritte keinen Zugriff auf seinen Account erhalten. Verletzt der Kunde diese Pflicht, ist er fuer hieraus entstehende Schaeden verantwortlich.
(3) Der Dienst darf nur im Rahmen der geltenden Gesetze und dieser AGB genutzt werden.
(4) Der Kunde ist verantwortlich fuer eingestellte Inhalte und Daten und stellt sicher, dass Rechte Dritter nicht verletzt werden. {{#IF HAS_END_USERS}} Der Kunde verpflichtet seine Nutzer entsprechend. {{/IF}} Der Kunde stellt den Anbieter von saemtlichen Anspruechen Dritter frei, die auf einer rechtswidrigen Nutzung durch den Kunden oder dessen Nutzer beruhen.
(5) Der Kunde ist verpflichtet, Zahlungsaufforderungen fristgerecht nachzukommen.
(6) Der Anbieter kann zusaetzliche Sicherheitsmassnahmen einfuehren und wird den Kunden hierueber informieren. Der Kunde ist verpflichtet, zumutbare Sicherheitsmassnahmen umzusetzen.
(7) Der Kunde ist ergaenzend selbst fuer die regelmaessige Sicherung seiner Daten im Rahmen der verfuegbaren Export-Funktionen verantwortlich.
{{#IF HAS_UPLOAD}}
(8) Der Kunde hat vor dem Hochladen von Dateien diese auf Viren oder sonstige schaedliche Komponenten zu pruefen und hierzu dem Stand der Technik entsprechende Schutzsoftware einzusetzen.
{{/IF}}
---
## § 6 Nutzungsrechte
(1) Der Anbieter raeumt dem Kunden ein einfaches, nicht uebertragbares, auf die Vertragsdauer beschraenktes Nutzungsrecht an der Software im Rahmen der jeweils aktuellen Leistungsbeschreibung ein. Zur Nutzung gehoert das Laden in den Arbeitsspeicher und die Installation auf den vom Kunden bzw. den Nutzern eingesetzten Endgeraeten und Servern.
{{#IF HAS_END_USERS}}
(2) Der Kunde darf die Software seinen Nutzern im Rahmen des Vertragszwecks zur Verfuegung stellen. Nutzer gelten nicht als Dritte im Sinne dieser Bestimmung.
{{/IF}}
(3) Eine Ueberlassung an sonstige Dritte, Unterlizenzierung oder oeffentliche Zugaenglichmachung ausserhalb der vorgesehenen Nutzung ist untersagt.
(4) Die vom Anbieter bereitgestellten Leistungen sind durch gewerbliche Schutzrechte geschuetzt, insbesondere durch Urheberrecht{{#IF HAS_TRADEMARK}}, Markenrecht{{/IF}}{{#IF HAS_PATENTS}}, Patentrecht{{/IF}}{{#IF HAS_DESIGN_RIGHTS}}, Designrecht{{/IF}}{{#IF HAS_TRADE_SECRETS}} sowie den Schutz von Geschaeftsgeheimnissen (GeschGehG){{/IF}}. Urhebervermerke, Logos, Marken und sonstige Kennzeichnungen duerfen nicht veraendert oder entfernt werden.
(5) Reverse Engineering, Dekompilierung und Umgehung von Sicherheitsmechanismen sind untersagt, soweit gesetzlich zulaessig.
{{#IF HAS_TDM_OPTOUT}}
(6) Die Nutzung der Leistungen fuer Text- und Data-Mining oder die Entwicklung, das Training oder die Anreicherung von KI-Systemen ist ohne ausdrueckliche Zustimmung des Anbieters untersagt.
{{/IF}}
{{#IF HAS_API_ACCESS}}
(5) Die Nutzung der bereitgestellten API ist im Rahmen der dokumentierten Schnittstellen und der vereinbarten Rate-Limits gestattet.
{{/IF}}
{{#IF HAS_MAINTENANCE_ACCESS}}
(6) Der Anbieter erhaelt fuer Wartungs- und Supportzwecke einen Fernzugang zu den vom Kunden betriebenen Installationen. Der Umfang ergibt sich aus dem Wartungsvertrag.
{{/IF}}
---
## § 7 Verfuegbarkeit, Wartung und Support
(1) Die Verfuegbarkeit der Software betraegt {{AVAILABILITY_PERCENT}} Prozent im Jahresdurchschnitt. {{#IF HAS_MAX_DOWNTIME}} Die Verfuegbarkeit darf nicht laenger als {{MAX_DOWNTIME_DAYS}} Kalendertage in Folge beeintraechtigt sein. {{/IF}} Hiervon ausgenommen sind geplante Wartungsarbeiten und Ereignisse hoeherer Gewalt.
(2) Der Anbieter fuehrt regelmaessige Wartungsarbeiten durch und stellt Updates bereit. Die Software ist auf dem jeweils aktuellen Stand zu nutzen. Geplante Wartungsarbeiten werden {{MAINTENANCE_NOTICE_HOURS}} Stunden im Voraus angekuendigt und nach Moeglichkeit ausserhalb der Hauptnutzungszeiten durchgefuehrt.
(3) Support ist erreichbar: {{SUPPORT_HOURS}}. Supportkanaele: {{SUPPORT_CHANNELS_TEXT}}.
(4) Der Kunde meldet Softwarefehler mit einer moeglichst exakten Fehlerbeschreibung. Der Kunde ist zur Mitwirkung bei der Fehlerbehebung verpflichtet, insbesondere zur Erreichbarkeit fuer Rueckfragen.
(5) Fehler werden nach folgender Kritikalitaet bearbeitet:
| Kategorie | Auswirkung | Reaktionszeit |
|-----------|-----------|---------------|
| Normal | Keine oder geringe Auswirkung | {{RESPONSE_LOW_H}} Stunden |
| Hoch | Einschraenkung des Geschaeftsbetriebs | {{RESPONSE_HIGH_H}} Stunden |
| Kritisch | Drohender Vermoegens- oder Betriebsschaden | {{RESPONSE_CRITICAL_H}} Stunden |
(6) Die Reaktionszeiten bezeichnen den Zeitraum bis zum Beginn der Bearbeitung, nicht bis zur Fehlerbehebung. Sie gelten ausschliesslich innerhalb der Servicezeiten.
{{#IF HAS_SLA}}
(7) Weitergehende Verfuegbarkeits- und Servicezusagen: {{SLA_URL}}.
{{/IF}}
---
## § 8 Datenspeicherung und Datenexport
(1) Der Anbieter trifft angemessene technische und organisatorische Massnahmen zum Schutz vor Datenverlust und unbefugtem Zugriff nach dem Stand der Technik. Regelmaessige Datensicherungen (Backups) sind Bestandteil dieser Massnahmen.
{{#IF NO_AUDIT_PROOF_STORAGE}}
(2) Der Anbieter stellt vorbehaltlich abweichender Vereinbarung keine revisionssichere Speicherung (z.B. GoBD-konform) zur Verfuegung.
{{/IF}}
(3) Der Kunde bleibt Alleinberechtigter an seinen Daten. Dem Anbieter stehen weder ein Zurueckbehaltungsrecht noch ein Pfandrecht an den Daten des Kunden zu.
(4) Der Kunde kann jederzeit die Herausgabe seiner Daten in einem gaengigen, maschinenlesbaren Format verlangen.
---
{{#IF HAS_PHYSICAL_GOODS}}
## § 8a Lieferung
(1) Die Lieferung erfolgt an die vom Kunden angegebene Lieferadresse. Lieferzeiten sind im jeweiligen Angebot angegeben und beginnen mit Zahlungseingang.
(2) Teillieferungen sind zulaessig, sofern dies fuer eine zuegige Abwicklung erforderlich und fuer den Kunden zumutbar ist. Zusaetzliche Versandkosten bei Teillieferungen traegt der Anbieter.
(3) Ist ein Produkt dauerhaft nicht verfuegbar, kommt kein Vertrag zustande. Bereits geleistete Zahlungen werden unverzueglich erstattet.
(4) Die Versandkosten ergeben sich aus der Bestelluebersicht und sind vom Kunden zu tragen. {{#IF_NOT B2B_ONLY}} Das Versandrisiko traegt der Anbieter, wenn der Kunde Verbraucher ist. {{/IF_NOT}} Im Falle eines Widerrufs traegt der Kunde die unmittelbaren Kosten der Ruecksendung.
{{#IF HAS_RETENTION_OF_TITLE}}
## § 8b Eigentumsvorbehalt
(1) Gelieferte Waren bleiben bis zur vollstaendigen Bezahlung (einschliesslich Versandkosten) im Eigentum des Anbieters.
(2) Der Kunde ist nicht berechtigt, unter Eigentumsvorbehalt stehende Waren ohne vorherige Zustimmung des Anbieters in Textform weiter zu veraeussern. {{#IF IS_B2B}} Unternehmern ist auch die Verpfaendung oder Sicherheitsuebereignung vor Eigentumsuebergang untersagt. {{/IF}}
{{#IF ALLOWS_RESALE}}
(3) Abweichend von Absatz 2 ist der Kunde zur Weiterveraeusserung der Vorbehaltsware im ordentlichen Geschaeftsgang berechtigt. Er tritt dem Anbieter bereits jetzt alle Forderungen in Hoehe des Rechnungsbetrags ab, die ihm aus der Weiterveraeusserung entstehen. Der Kunde bleibt zur Einziehung ermaechtigt, solange er seinen Zahlungspflichten nachkommt.
{{/IF}}
{{/IF}}
{{/IF}}
---
## § 9 Datenschutz
(1) Der Anbieter verarbeitet personenbezogene Daten, die der Kunde oder dessen Nutzer in die Software eingeben, als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Einzelheiten der Auftragsverarbeitung regelt der separat geschlossene Auftragsverarbeitungsvertrag (AVV).
(2) Der Anbieter verwendet die Daten nicht zu eigenen Zwecken und nimmt nur insoweit Einsicht, als dies zur Erfuellung seiner vertraglichen Verpflichtungen erforderlich ist.
(3) Der Kunde ist eigenverantwortlich fuer die Erfuellung der ihm gegenueber betroffenen Personen obliegenden datenschutzrechtlichen Informationspflichten (Art. 13/14 DSGVO).
(4) Die Datenschutzerklaerung des Anbieters ist abrufbar unter: {{PRIVACY_POLICY_URL}}.
---
## § 10 Sperrung
(1) Der Anbieter ist zur Sperrung des Zugangs berechtigt, wenn der Kunde trotz Mahnung mit einer angemessenen Nachfrist in Zahlungsverzug ist.
(2) Der Anbieter ist ferner zur Sperrung berechtigt, wenn der begruendete Verdacht besteht, dass die Software unter Verstoss gegen geltendes Recht, diese AGB oder die Nutzungsbedingungen eingesetzt wird. Der Anbieter informiert den Kunden in der Regel mindestens 24 Stunden vor der Sperrung und gibt ihm Gelegenheit zur Stellungnahme.
(3) Waehrend einer Sperrung bleibt dem Kunden der Zugang zum Datenexport erhalten.
(4) Eine Sperrung laesst die Vertragslaufzeit unberuehrt. Die Zahlungspflicht besteht waehrend der Sperrung fort, sofern die Sperrung nicht auf einem Verschulden des Anbieters beruht.
---
## § 11 Gewaehrleistung
(1) Der Kunde hat Maengel der Software unverzueglich nach Entdeckung anzuzeigen. Die Maengelanzeige soll eine nachvollziehbare Fehlerbeschreibung enthalten.
(2) Der Anbieter behebt Maengel nach seiner Wahl durch Nachbesserung oder Bereitstellung einer fehlerfreien Version. Dem Anbieter sind mindestens zwei Nachbesserungsversuche innerhalb angemessener Frist einzuraeumen.
(3) Die Gewaehrleistung fuer nur unerhebliche Minderungen der Tauglichkeit wird ausgeschlossen.
(4) Die verschuldensunabhaengige Haftung fuer bei Vertragsschluss bereits vorhandene Maengel gemaess § 536a Abs. 1 BGB wird ausgeschlossen.
{{#IF HAS_DIGITAL_CONTENT}}
(5) Der Anbieter stellt dem Kunden Aktualisierungen (Software-Updates) kostenlos zur Verfuegung. Die Gewaehrleistung fuer Maengel, die daraus resultieren, dass der Kunde erforderliche und kostenlos bereitgestellte Updates nicht oder nicht rechtzeitig installiert hat, ist ausgeschlossen.
{{/IF}}
{{#IF IS_B2B}}
(6) Unternehmer haben offensichtliche Maengel innerhalb von einer Woche nach Erhalt schriftlich anzuzeigen (§ 377 HGB). Verdeckte Maengel sind unverzueglich nach Entdeckung anzuzeigen. Bei verspaeteter Anzeige ist die Gewaehrleistung ausgeschlossen.
{{#IF HAS_PHYSICAL_GOODS}}
(7) Bei Ruecksendung wegen Maengeln traegt der Anbieter die Versandkosten, sofern tatsaechlich ein Mangel vorliegt. Andernfalls traegt der Kunde die Kosten.
{{/IF}}
{{/IF}}
{{#IF IS_B2C}}
(8) Gegenueber Verbrauchern gelten die gesetzlichen Gewaehrleistungsrechte.
{{/IF}}
---
## § 12 Haftung
(1) Der Anbieter haftet unbeschraenkt bei Vorsatz, grober Fahrlaessigkeit und Schaeden aus Verletzung von Leib, Leben oder Gesundheit.
(2) Bei leicht fahrlaessiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) ist die Haftung auf den typischen, vorhersehbaren Schaden begrenzt.
(3) Im Uebrigen ist die Haftung ausgeschlossen, soweit gesetzlich zulaessig.
(4) Fuer Datenverlust haftet der Anbieter nur, soweit der Schaden auch bei ordnungsgemaesser Datensicherung durch den Kunden eingetreten waere. Unzureichende Datensicherung kann ein Mitverschulden im Sinne von § 254 BGB begruenden.
(5) Die gesetzliche Haftung nach dem Produkthaftungsgesetz bleibt unberuehrt.
{{#IF IS_B2B}}
(6) Die Haftung bei leichter Fahrlaessigkeit ist auf das {{LIABILITY_MULTIPLIER}}-fache der jaehrlichen Nettoverguetung begrenzt.
(7) Ansprueche wegen Sach- und Rechtsmaengeln verjaehren in einem Jahr, sofern nicht zwingend laengere Fristen gelten (insb. Verletzung von Leben/Koerper/Gesundheit, Arglist, Vorsatz).
{{/IF}}
(8) Ist ein Schaden auf Mitverschulden des Kunden zurueckzufuehren, mindert sich der Anspruch entsprechend (§ 254 BGB).
{{#IF HAS_IP_INDEMNIFICATION}}
### Freistellung bei Schutzrechtsverletzungen
(9) Der Anbieter steht dafuer ein, dass die vertragsmaessige Nutzung der Software frei von Schutzrechten Dritter ist. Macht ein Dritter gegenueber dem Kunden Ansprueche wegen einer Schutzrechtsverletzung geltend, verteidigt der Anbieter den Kunden auf eigene Kosten, sofern der Kunde den Anbieter unverzueglich benachrichtigt und ihm die Kontrolle ueber die Rechtsverteidigung ueberlaesst.
(10) Wird die Nutzung aufgrund einer Schutzrechtsverletzung beeintraechtigt, kann der Anbieter nach seiner Wahl die Software so aendern, dass sie das Schutzrecht nicht mehr verletzt, oder dem Kunden die erforderlichen Nutzungsrechte verschaffen.
{{/IF}}
---
## § 13 Vertragslaufzeit und Kuendigung
(1) Die Vertragslaufzeit richtet sich nach dem gewaehlten Abrechnungszeitraum (monatlich oder jaehrlich). Der Vertrag kann zum Ende der jeweiligen Laufzeit gekuendigt werden.
(2) Wird der Vertrag nicht fristgerecht gekuendigt, verlaengert er sich automatisch um den aktuell gebuchten Abrechnungszeitraum.
{{#IF HAS_MODULAR_PACKAGES}}
(3) Ein Wechsel in ein hoeherpreisiges Paket ist jederzeit moeglich; bereits gezahltes Entgelt wird anteilig angerechnet. Ein Wechsel in ein niedrigpreisigeres Paket ist zum Ende der laufenden Vertragslaufzeit moeglich.
{{/IF}}
(4) Das Recht zur ausserordentlichen fristlosen Kuendigung aus wichtigem Grund bleibt unberuehrt. Ein wichtiger Grund liegt insbesondere vor, wenn der Kunde trotz Mahnung und angemessener Nachfrist faellige Zahlungen nicht leistet oder wesentliche Vertragspflichten verletzt.
(5) Bereits gezahlte Entgelte fuer nicht vollstaendig genutzte Buchungszeitraeume werden bei ordentlicher Kuendigung nicht erstattet. Gesetzlich zwingende Erstattungsansprueche bleiben unberuehrt.
(6) Die Kuendigung kann in Textform oder ueber die im Kundenportal bereitgestellte Kuendigungsfunktion (§ 312k BGB) erfolgen.
---
## § 14 Daten bei Vertragsbeendigung
(1) Der Kunde kann seine Daten waehrend der Vertragslaufzeit jederzeit ueber die verfuegbaren Export-Funktionen sichern.
(2) Nach Vertragsbeendigung werden alle personenbezogenen Daten des Kunden gemaess den Regelungen des AVV geloescht oder zurueckgegeben. Die Loeschfrist betraegt {{DELETION_DAYS}} Tage nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(3) Vertragsdaten (Rechnungen, Korrespondenz) bleiben von der Loeschung ausgenommen, soweit gesetzliche Aufbewahrungspflichten bestehen.
{{#IF HAS_RETURN_COST_CLAUSE}}
(4) Unterstuetzungsleistungen des Anbieters beim Datenexport beduerfen einer gesonderten Verguetung.
{{/IF}}
---
## § 15 Vertraulichkeit
(1) Die Parteien verpflichten sich, alle im Rahmen des Vertragsverhaeltnisses erlangten vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und nicht an unbefugte Dritte weiterzugeben. Diese Pflicht gilt auch nach Vertragsbeendigung fort.
(2) Vertrauliche Informationen duerfen nur denjenigen Mitarbeitern und Beauftragten zugaenglich gemacht werden, die sie zur Erfuellung der vertraglichen Pflichten benoetigen. Diese Personen sind entsprechend zur Vertraulichkeit zu verpflichten.
(3) Die Vertraulichkeitspflicht gilt nicht fuer Informationen, die (a) oeffentlich bekannt sind oder werden, (b) der empfangenden Partei bereits rechtmaessig bekannt waren, (c) von einem Dritten ohne Vertraulichkeitsverpflichtung uebermittelt werden, oder (d) aufgrund gesetzlicher oder behoerdlicher Anordnung offenzulegen sind.
---
{{#IF HAS_REFERENCE_MARKETING}}
## § 16 Referenzmarketing
(1) Der Kunde gestattet dem Anbieter, den Firmennamen und das Logo des Kunden als Referenz auf der eigenen Website und in Marketingmaterialien zu verwenden.
(2) Der Kunde kann diese Gestattung jederzeit mit Wirkung fuer die Zukunft widerrufen.
{{#IF HAS_WHITELABEL}}
(3) Bei Nutzung des Enterprise-/Whitelabel-Pakets entfaellt die Darstellung von Anbieter-Kennzeichen in der Software.
{{/IF}}
---
{{/IF}}
## § 17 Aenderungen der AGB
(1) Der Anbieter kann diese AGB aus sachlichem Grund aendern (z.B. Gesetzesaenderung, Aenderung der Rechtsprechung). Dieser Aenderungsvorbehalt ist nicht auf Aenderungen anwendbar, die das Verhaeltnis von Leistung und Gegenleistung wesentlich veraendern, insbesondere nicht auf Preiserhoehungen.
(2) Aenderungen werden in Textform mit einer Frist von mindestens einem Monat vor Inkrafttreten angekuendigt.
(3) Ohne Widerspruch innerhalb der gesetzten Frist gelten Aenderungen als angenommen. {{#IF_NOT B2B_ONLY}} Verbraucher werden auf ihr Widerspruchsrecht ausdruecklich hingewiesen. {{/IF_NOT}}
{{#IF HAS_PHYSICAL_GOODS}}
(4) AEnderungen dieser AGB haben keinen Einfluss auf bereits abgeschlossene Kaufvertraege. Es gilt die zum Zeitpunkt des Erwerbs gueltige Fassung.
{{/IF}}
(5) Im Einzelfall getroffene Individualvereinbarungen gehen diesen AGB vor (§ 305b BGB).
---
## § 18 Schlussbestimmungen
(1) Aenderungen und Ergaenzungen dieses Vertrages beduerfen der Textform.
(2) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.
{{#IF IS_B2B}}
(3) Gerichtsstand gegenueber Kaufleuten und juristischen Personen: {{JURISDICTION_CITY}}. Ausschliessliche Gerichtsstaende bleiben unberuehrt.
{{/IF}}
(4) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der uebrigen Bestimmungen unberuehrt.
{{#IF HAS_PHYSICAL_GOODS}}
(5) Erfuellungsort ist {{FULFILLMENT_LOCATION}}.
{{/IF}}
{{#IF HAS_EXTERNAL_LINKS}}
(6) {{PLATFORM_NAME}} kann Links zu Internetseiten Dritter enthalten. Der Anbieter hat keinen Einfluss auf deren Inhalte und uebernimmt hierfuer keine Verantwortung.
{{/IF}}
(5) Bestandteile dieses Vertrages sind neben diesen AGB der Auftragsverarbeitungsvertrag (AVV) {{#IF HAS_COMMUNITY_GUIDELINES}} sowie die Nutzungsbedingungen (Community Guidelines) {{/IF}}.
{{#IF HAS_FORCE_MAJEURE}}
(6) Unvorhersehbare Ereignisse ausserhalb des Einflussbereichs der Parteien (hoehere Gewalt, insbesondere Epidemien, Naturkatastrophen, Krieg, Streik, behoerdliche Anordnungen), die die Leistungserbringung wesentlich erschweren oder unmoeglich machen, berechtigen die betroffene Partei, die Erfuellung fuer die Dauer der Behinderung zurueckzustellen. Zahlungspflichten bleiben hiervon unberuehrt. Die betroffene Partei unternimmt alle zumutbaren Anstrengungen zur Wiederaufnahme.
{{/IF}}
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
version = '2.0.0',
description = 'Allgemeine Geschaeftsbedingungen fuer SaaS/Cloud-Dienste. 18 Paragraphen inkl. Sperrung, Vertraulichkeit, Force Majeure, IP-Indemnification, § 312k BGB Kuendigungsbutton, § 536a BGB Ausschluss. B2B/B2C ueber Conditions steuerbar. Optionale Abschnitte fuer Testphase, modulare Pakete, Preisanpassung, Referenzmarketing, Whitelabel.',
updated_at = NOW()
WHERE document_type = 'agb'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/091_community_guidelines_v2.sql
+340
View File
@@ -0,0 +1,340 @@
-- Migration 091: Community Guidelines v2 — Modulares Template mit Detail-Bloecken
-- Drei Ebenen: Einleitung (Ton-Wahl), Verbotskategorien (modular + Detail), Moderation (DSA)
-- Jede Kategorie: Kurztext (immer) + DETAILED_* Block (optional) + EXCEPTIONS_* Block (optional)
UPDATE compliance_legal_templates
SET
title = 'Gemeinschaftsrichtlinien (modular, DSA-konform)',
description = 'Modulare Community Guidelines: 3 Tonarten, 11 Verbotskategorien mit optionalen Detaillisten und Ausnahmen, DSA-konformes Moderationsverfahren. Kunde waehlt per Checkbox welche Kategorien und Detailtiefe.',
content = $template$# Gemeinschaftsrichtlinien fuer {{PLATFORM_NAME}}
Stand: {{EFFECTIVE_DATE}} | Meldungen: {{REPORT_EMAIL}}
---
{{#IF TONE_FRIENDLY}}
## Willkommen bei {{PLATFORM_NAME}}
Wir freuen uns, dass Sie Teil unserer Gemeinschaft sind. {{PLATFORM_NAME}} lebt vom Austausch und guter Austausch braucht klare Spielregeln. Diese Richtlinien beschreiben, wie wir miteinander umgehen und welche Inhalte hier keinen Platz haben.
### Was gute Beitraege ausmacht
- **Respektvoll:** Denken Sie darueber nach, wie sich Ihre Inhalte auf andere auswirken. Guter Austausch heisst, andere willkommen zu heissen und einzubeziehen.
- **Relevant:** Bringen Sie etwas Neues ein einen Einblick, eine Perspektive, konstruktive Kritik. Qualitaet vor Quantitaet.
- **Sachlich fundiert:** Zeigen Sie, was Sie wissen, statt andere herabzusetzen. Gehaltvollere Beitraege entstehen durch eigenes Wissen, nicht durch Abwertung anderer.
- **Hilfsbereit:** Melden Sie Inhalte, die gegen diese Richtlinien verstossen. Sie helfen damit allen.
{{/IF}}
{{#IF TONE_EDITORIAL}}
## Ueber diese Richtlinien
{{PLATFORM_NAME}} ist ein Ort fuer Austausch, Lernen und gemeinsames Entdecken. Menschen mit unterschiedlichen Hintergruenden und Perspektiven kommen hier zusammen. Das funktioniert nur, wenn alle Beteiligten einige Grundregeln beachten.
Wir setzen auf Neugierde statt Rechthaberei, auf Substanz statt Lautstaerke. Wer hier Inhalte veroeffentlicht oder kommentiert, traegt zur Qualitaet der gesamten Gemeinschaft bei im Guten wie im Schlechten.
Diese Richtlinien beschreiben unsere Erwartungen und die Grenzen dessen, was auf {{PLATFORM_NAME}} zulaessig ist.
{{/IF}}
{{#IF TONE_FORMAL}}
## Geltungsbereich
Diese Gemeinschaftsrichtlinien gelten fuer alle Inhalte, die auf {{PLATFORM_NAME}} veroeffentlicht werden, unabhaengig von Form und Medium. Sie sind verbindlicher Bestandteil der Nutzungsbedingungen.
{{COMPANY_NAME}} behaelt sich das Recht vor, gegen diese Richtlinien verstossende Inhalte zu entfernen sowie Nutzer zu verwarnen oder ihren Zugang zu sperren.
{{/IF}}
---
## Verhaltensregeln
Alle Nutzer von {{PLATFORM_NAME}} verpflichten sich zu einem respektvollen, sachlichen und gesetzeskonformen Umgang miteinander. Folgende Grundregeln gelten fuer jede Interaktion:
- **Keine persoenlichen Angriffe:** Kritisieren Sie Inhalte und Argumente, nicht Personen.
- **Keine Diskriminierung:** Herabwuerdigung aufgrund von Herkunft, Geschlecht, Religion, sexueller Orientierung, Behinderung, Alter oder anderer Merkmale wird nicht toleriert.
- **Privatsphaere achten:** Veroeffentlichen Sie keine personenbezogenen Daten Dritter ohne deren Einwilligung.
- **Quellenangaben:** Verwenden Sie nur Inhalte, an denen Sie Rechte besitzen. Kennzeichnen Sie Zitate und nennen Sie Quellen.
- **Kein Trolling:** Beitraege, die erkennbar darauf abzielen, Diskussionen zu entgleisen oder andere zu provozieren, werden entfernt.
---
## Verbotene Inhalte
Die folgenden Inhaltskategorien sind auf {{PLATFORM_NAME}} verboten. Verstossende Inhalte werden gesperrt und nach Abschluss des Pruefverfahrens geloescht.
### Rechtswidrige Inhalte
Inhalte, die gegen geltendes Recht verstossen, sind nicht zulaessig. Dies umfasst alle Informationen, die als solche oder durch ihre Bezugnahme auf eine Taetigkeit nicht im Einklang mit dem anwendbaren Recht stehen.
{{#IF DETAILED_ILLEGAL}}
Dazu zaehlen insbesondere:
- Strafbare Aeusserungen (z.B. Beleidigung, Volksverhetzung)
- Nicht genehmigte Verwendung urheberrechtlich geschuetzten Materials
- Inhalte, die gegen behoerdliche Anordnungen verstossen
- Verbreitung terroristischer Inhalte
{{/IF}}
### Hassrede und Diskriminierung
Inhalte, die Personen oder Gruppen aufgrund geschuetzter Merkmale herabwuerdigen, verleumden, einschuechtern oder zu Hass aufrufen, sind verboten. Dies umfasst auch die Leugnung, Billigung oder Verharmlosung von Voelkermord und Verbrechen gegen die Menschlichkeit.
{{#IF DETAILED_HATE_SPEECH}}
Als hasserfuelltes Verhalten gelten insbesondere:
- Hassrede und Diskriminierung jeglicher Art
- Beleidigungen oder Diffamierungen von Personen oder Gruppen
- Verleumderische Aeusserungen, die auf die Schaedigung der Reputation oder Wuerde einer Person abzielen
- Belaestigung, einschliesslich Online-Stalking und Mobbing
- Demuetigende, spoettische oder herabsetzende Kommentare und Aktivitaeten
- Einschuechterung oder Noetigung, sowohl verbal als auch physisch
- Denunziationen, falsche Anschuldigungen und Unterstellungen
- Soziale Ausgrenzung oder oeffentliche Blossstellung von Personen
- Aufrufe zu Hass oder Willkuermassnahmen gegen Personen oder Gruppen
- Leugnung des Holocaust oder anderer historisch belegter Voelkermorde
{{/IF}}
### Betrug und Falschinformationen
Inhalte, die der vorsaetzlichen Taeuschung oder Irrefuehrung dienen, werden entfernt. Dazu zaehlen erwiesen falsche Tatsachenbehauptungen, manipulierte Darstellungen ohne Kennzeichnung, Spam und betruegerische Angebote.
{{#IF DETAILED_FRAUD}}
Als Betrug und Falschinformation gelten insbesondere:
- Finanzieller oder materieller Betrug (z.B. Anlagebetrug, Versicherungsbetrug)
- Identitaetsbetrug oder Identitaetstaueschung
- Irrefuehrende Werbung (z.B. Darstellungen von uebermaessig hohen Renditen)
- Falsche oder irrefuehrende Behauptungen, insbesondere im medizinischen Bereich oder zu demokratischen Prozessen
- Kuenstlich erzeugte oder manipulierte Inhalte (Deepfakes), die Nutzern faelschlicherweise als echt erscheinen, sofern nicht eindeutig als solche gekennzeichnet
- Spam, Bots und vergleichbare umfangreiche oder wiederholende irrefuehrende Inhalte
- Gefaelschte Dokumente oder Zahlungsmittel
- Verschwoerungstheorien, die als Tatsachen dargestellt werden
{{/IF}}
{{#IF EXCEPTIONS_FRAUD}}
*Ausnahme: Parodie, Satire und Kunst sind zulaessig, sofern sie keine Persoenlichkeitsrechte verletzen und als solche erkennbar sind. Journalistische Berichterstattung ueber Betrug oder Falschinformationen ist zulaessig, wenn der journalistische Charakter erkennbar ist.*
{{/IF}}
### Sicherheit und Privatsphaere
Die Veroeffentlichung persoenlicher Informationen ohne Einwilligung der betroffenen Person (Doxing), die De-Anonymisierung von Nutzern, Identitaetsdiebstahl sowie Aktivitaeten, die die Sicherheit der Plattform oder ihrer Nutzer gefaehrden, sind verboten.
{{#IF DETAILED_PRIVACY}}
In diesem Sinne sind insbesondere verboten:
- Veroeffentlichung persoenlicher Daten ohne Einverstaendnis (Anschrift, Telefonnummer, E-Mail)
- Veroeffentlichung vertraulicher Informationen (medizinische Daten, Finanzdaten, religioese/sexuelle Identitaet)
- Veroeffentlichung von Passwoertern, Zugangsdaten oder Zahlungsmittel-Details
- Offenlegung der Identitaet, De-Anonymisierung oder De-Pseudonymisierung einer Person
- Veroeffentlichung von Abbildungen, Audio- oder Videoaufnahmen ohne Einwilligung der betroffenen Personen
- Identitaetsdiebstahl und Imitieren von Personen oder Gruppen
- Anlegen mehrerer Nutzeraccounts durch einen Nutzer
- Links zu unsicheren, irrefuehrenden oder schaedigenden Seiten (Phishing, Malware)
- Gefaehrdung der Stabilitaet oder Sicherheit der Plattform (z.B. Hacking, DoS-Angriffe)
{{/IF}}
{{#IF HAS_MEDIA_UPLOADS}}
### Gewalt und Gewaltverherrlichung
Darstellungen von Gewalt, Gewaltandrohungen und Aufrufe zur Gewalt sind verboten.
{{#IF DETAILED_VIOLENCE}}
Als inakzeptabel gelten insbesondere:
- Darstellungen von Gewalt oder gewalttaetigen Szenen, einschliesslich versuchter Gewaltanwendung
- Darstellungen von Unfaellen, Katastrophen oder Anschlaegen, die verletzte oder getoetete Menschen zeigen
- Schockierende und verstoerende Darstellungen im Zusammenhang mit Gewalt
- Androhung von Gewalt, gleich welcher Art und Haerte
- Einschuechterung mittels Gewaltandrohung
- Anstiftung oder Aufruf zu jeglicher Form von Gewalt
- Verwendung von gewaltverherrlichender Sprache oder Symbolen in einem Kontext, der erkennbar der Einschuechterung dient
{{/IF}}
{{#IF EXCEPTIONS_VIOLENCE}}
*Ausnahmen: Selbstverteidigungstraining oder Kampfsport; militaerisches oder polizeiliches Training; Darstellungen in Videospielen, Filmen oder als Teil von Kunst; journalistische Berichterstattung mit erkennbarem journalistischem Charakter; Informationen zu medizinischen, wissenschaftlichen oder paedagogischen Zwecken.*
{{/IF}}
### Pornografische und sexuell explizite Inhalte
Sexuell explizite Inhalte, einschliesslich digital erzeugter Darstellungen, sind nicht zulaessig.
{{#IF DETAILED_PORNOGRAPHY}}
Verboten sind insbesondere:
- Darstellungen sexueller Handlungen oder Aufforderungen dazu
- Exhibitionistische oder voyeuristische Inhalte
- Anzuegliche Darstellungen, die nackte Personen oder entbloesste Geschlechtsmerkmale zeigen
- Kuenstlich erstellte oder manipulierte Inhalte mit sexuellen Darstellungen
- Angebote und Werbung fuer sexuelle Dienstleistungen
- Links zu Seiten mit pornografischen Inhalten
{{/IF}}
{{#IF EXCEPTIONS_PORNOGRAPHY}}
*Ausnahmen: Koerperkunst (Bodypainting) mit blickdichter Abdeckung; Nacktheit als Teil einer Protestform; journalistische Berichterstattung; medizinische, wissenschaftliche oder paedagogische Inhalte; Darstellungen, die das Stillen oder Momente nach der Geburt zeigen.*
{{/IF}}
### Suizid und Selbstverletzung
Inhalte, die Suizid oder Selbstverletzung darstellen, verherrlichen oder dazu anleiten, werden entfernt. Nach wissenschaftlichen Erkenntnissen kann die Darstellung selbstverletzenden Verhaltens zur Nachahmung fuehren (Imitationseffekt).
{{#IF DETAILED_SELF_HARM}}
Verboten sind insbesondere:
- Darstellung oder Beschreibung von Suizid, Suizidgedanken oder Selbstverletzung
- Androhung, Anstiftung, Aufforderung oder Anleitung zu Suizid oder Selbstverletzung
- Inhalte, die koerperliche Folgen von Essstoerungen verharmlosen oder anpreisen
- Inhalte, die zu extremen oder ungesunden Diaeten anstiften
- Produkte oder Dienstleistungen, die fuer Suizid oder Selbstverletzung bestimmt sind
- Diffamierung von Personen nach Suizid oder Selbstverletzung
{{/IF}}
{{#IF EXCEPTIONS_SELF_HARM}}
*Ausnahmen: Journalistische Berichterstattung mit erkennbarem journalistischem Charakter; medizinische, wissenschaftliche oder paedagogische Inhalte; Inhalte zu Heilung, Praevention und Bewaeltigungsstrategien; gekennzeichnete Stunts mit Warnhinweis; Darstellungen in Videospielen, Filmen oder Kunst.*
{{/IF}}
Wenn Sie oder jemand, den Sie kennen, sich in einer Krise befinden, wenden Sie sich bitte an eine Krisenberatungsstelle: [https://findahelpline.com]
### Ausbeutung und Missbrauch
Inhalte, die Ausbeutung oder Missbrauch von Menschen zeigen oder foerdern, sind verboten. Insbesondere gilt dies fuer Darstellungen sexuellen Missbrauchs von Kindern (CSAM).
{{#IF DETAILED_EXPLOITATION}}
Unter Ausbeutung und Missbrauch fallen insbesondere:
- Sklaverei, Zwangsarbeit, Menschenhandel und Organhandel
- Kinderarbeit, Kindersoldaten und illegale Adoption
- Zwangsehen und jegliches Handeln, das unter Zwang gefordert wird
- Darstellungen von sexuellem Missbrauch
- Sexuelle Handlungen an Kindern oder Darstellungen von Kindern mit sexuellen Elementen
- Anzuegliche Kommentare gegenueber Minderjaehrigen
{{/IF}}
{{/IF}}
{{#IF HAS_MESSAGING}}
### Sexuelle Belaestigung und unerwuenschte Kontaktaufnahme
Sexuelle Belaestigung, sexuelle Objektivierung und unerwuenschte Kontaktaufnahmen sind verboten. Nutzer koennen unerwuenschte Nachrichten selbststaendig sperren.
{{#IF DETAILED_HARASSMENT}}
Verboten sind insbesondere:
- Sexuelle Belaestigung und sexuelle Objektivierung
- Angebot oder Aufforderung zu sexuellen Handlungen oder gewerblichen sexuellen Dienstleistungen
- Versenden von anzueglichen und sexuell orientierten Inhalten einschliesslich Nacktbildern
- Sexuelle Annaeherungsversuche oder Anzueglichkeiten
- Verwendung von Symbolen, Bildern oder Emojis in einem sexualisierten Kontext
- Kontaktaufnahmen, bei denen der Adressat zuvor mitgeteilt hat, dass eine Kontaktaufnahme unerwuenscht ist
{{/IF}}
{{/IF}}
{{#IF HAS_MARKETPLACE}}
### Gefaehrliche und verbotene Produkte
Das Anbieten, Verkaufen oder Nachfragen von Produkten und Dienstleistungen, die gesetzlichen Beschraenkungen unterliegen oder verboten sind, ist nicht zulaessig. Dies gilt auch fuer die Anbahnung von Transaktionen ausserhalb der Plattform.
{{#IF DETAILED_DANGEROUS_PRODUCTS}}
Gefaehrliche Produkte und Dienstleistungen umfassen insbesondere:
- Regulierte Produkte und Dienstleistungen (z.B. geschuetzte Tiere oder Pflanzen)
- Waffen und Munition, Sprengstoff
- Anleitungen zur Herstellung von Waffen oder Sprengstoff
- Drogen, einschliesslich Alkohol, Tabak und E-Zigaretten
- Rezeptpflichtige oder nicht zugelassene Medikamente
- Toxische oder toedliche Substanzen und Gefahrgueter
- Gestohlene Produkte oder Hehlerware
- Prostitution und vergleichbare sexuelle Dienstleistungen
{{/IF}}
{{/IF}}
### Gefaehrliche Personen und Terrorismus
Inhalte, die von oder zugunsten terroristischer Organisationen, verfassungsfeindlicher Vereinigungen oder krimineller Gruppen verbreitet werden, sind verboten. Dies schliesst Propaganda, Rekrutierung und Symbole ein.
{{#IF DETAILED_TERRORISM}}
Als gefaehrliche Personen und Gruppen gelten insbesondere:
- Terroristische Gruppierungen gemaess der EU-Terrorliste oder UN-Einstufung
- Verfassungsfeindliche oder verbotene Organisationen
- Militante oder paramilitaerische Gruppen und vergleichbare gewalttaetige Organisationen
- Kriminelle Vereinigungen und Banden
- Rassistische, diskriminierende oder extremistische Gruppen
- Sympathisanten und Unterstuetzer der vorgenannten Personen und Gruppen
{{/IF}}
### Gefaehrdende Aktivitaeten
Inhalte, die zu gefaehrlichen oder schaedigenden Aktivitaeten aufrufen, diese ankuendigen oder befuerworten, werden entfernt.
{{#IF DETAILED_DANGEROUS_ACTIVITIES}}
Als gefaehrdende Aktivitaeten gelten insbesondere:
- Mutproben oder Flashmobs, die Gesundheit oder Eigentum gefaehrden
- Missbrauch von Notrufeinrichtungen (z.B. Swatting)
- Stoerung demokratischer Prozesse (z.B. Wahlmanipulation)
- Anschlaege, Pluenderungen und Sachbeschaedigungen
- Angriffe auf physische und digitale Infrastrukturen
- Illegales Gluecksspiel und Schneeballsysteme
- Verharmlosung von Gefahren oder gezielte Falschinformationen ueber Gesundheitsrisiken
- Inhalte, die ungerechfertigte Panik ausloesen (z.B. falsche Anschlagswarnungen)
{{/IF}}
---
## Urheberrecht
Nutzer duerfen nur Inhalte veroeffentlichen, an denen sie die erforderlichen Rechte besitzen. Bei Verwendung fremder Inhalte sind Quellenangaben erforderlich. {{COMPANY_NAME}} entfernt Inhalte, die Urheberrechte verletzen, und informiert den betroffenen Nutzer.
---
## Moderation und Durchsetzung
### Erkennung von Verstoessen
{{COMPANY_NAME}} ueberprueft Inhalte sowohl proaktiv (automatisierte Erkennung und manuelle Stichproben) als auch reaktiv (Nutzer-Meldungen). Meldungen koennen unter {{REPORT_EMAIL}} eingereicht werden.
### Massnahmen bei Verstoessen
Bei Verstoessen gegen diese Richtlinien kann {{COMPANY_NAME}} folgende Massnahmen ergreifen:
- Entfernung oder Sperrung des betroffenen Inhalts
- Verwarnung des Nutzers
- Voruebergehende Einschraenkung von Funktionen
- Voruebergehende oder dauerhafte Sperrung des Nutzerkontos
Bei schwerwiegenden Verstoessen (insbesondere rechtswidrige Inhalte, Gewaltandrohungen, CSAM) koennen Massnahmen ohne Vorwarnung ergriffen werden.
### Benachrichtigung
Nach einer Sperrung oder Entfernung informiert {{COMPANY_NAME}} den betroffenen Nutzer unverzueglich per E-Mail ueber die Massnahme und deren Begruendung.
### Beschwerde und Ueberpruefung
Der betroffene Nutzer kann innerhalb von 14 Tagen nach Zugang der Benachrichtigung eine Stellungnahme an {{REPORT_EMAIL}} uebermitteln. {{COMPANY_NAME}} prueft den Sachverhalt unter Beruecksichtigung der Stellungnahme durch einen Menschen und teilt die Entscheidung mit einzelfallbezogener Begruendung mit.
Wird festgestellt, dass der Inhalt nicht gegen diese Richtlinien verstoesst, wird die Sperre aufgehoben. Andernfalls wird der Inhalt endgueltig geloescht.
### Aussergerichtliche Streitbeilegung
Unabhaengig vom internen Beschwerdeverfahren steht Nutzern der Weg zu einer zertifizierten aussergerichtlichen Streitbeilegungsstelle offen (Art. 21 Verordnung (EU) 2022/2065).
---
## Aenderungen
{{COMPANY_NAME}} kann diese Richtlinien bei Bedarf anpassen und informiert ueber wesentliche Aenderungen. Die jeweils aktuelle Fassung ist unter {{GUIDELINES_URL}} abrufbar.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{EFFECTIVE_DATE}}*
$template$,
placeholders = '["PLATFORM_NAME", "EFFECTIVE_DATE", "REPORT_EMAIL", "COMPANY_NAME", "CONTACT_EMAIL", "GUIDELINES_URL"]'::jsonb,
version = '3.0.0',
updated_at = NOW()
WHERE document_type = 'community_guidelines'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/092_media_content_modules.sql
+207
View File
@@ -0,0 +1,207 @@
-- Migration 092: Media & Content Module — 4 zusaetzliche Bloecke
-- Fuer Nutzungsbedingungen und Community Guidelines
-- Module: Journalistische Medien, KI-Kennzeichnung, Werbekennzeichnung, Pressekodex
-- Rechtsgrundlagen: MStV §§ 18-22, AI Act Art. 50, § 5a UWG, Presserat
-- Diese Migration erstellt ein separates Template 'media_content_policy'
-- das als Zusatzmodul zu den Nutzungsbedingungen oder eigenstaendig verwendet werden kann
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'media_content_policy',
'Medien- und Inhalte-Richtlinie (MStV, AI Act, UWG)',
'Ergaenzende Richtlinie fuer Plattformen mit journalistischen, KI-generierten oder werblichen Inhalten. 4 unabhaengige Module: Journalistische Sorgfalt (MStV), KI-Kennzeichnung (AI Act Art. 50), Werbekennzeichnung (UWG/MStV), Pressekodex. Einzeln oder kombiniert aktivierbar.',
$template$# Medien- und Inhalte-Richtlinie fuer {{PLATFORM_NAME}}
Stand: {{EFFECTIVE_DATE}}
Diese Richtlinie ergaenzt die Nutzungsbedingungen und Gemeinschaftsrichtlinien von {{PLATFORM_NAME}} um spezifische Regelungen fuer journalistische, KI-generierte und werbliche Inhalte.
---
{{#IF IS_JOURNALISTIC_MEDIA}}
## Modul 1: Journalistische Sorgfalt und redaktionelle Verantwortung
### Anwendungsbereich
Dieses Modul gilt fuer alle Inhalte auf {{PLATFORM_NAME}}, die journalistisch-redaktionell gestaltet sind und regelmaessig Nachrichten oder politische Informationen enthalten (§ 18 Abs. 1 Medienstaatsvertrag MStV).
### Journalistische Grundsaetze
(1) Nutzer, die journalistische oder redaktionelle Inhalte auf {{PLATFORM_NAME}} veroeffentlichen, sind verpflichtet, die anerkannten journalistischen Grundsaetze zu beachten (§ 19 Abs. 1 MStV). Dazu gehoeren insbesondere:
- **Sorgfaltspflicht:** Nachrichten sind vor ihrer Veroeffentlichung mit der nach den Umstaenden gebotenen Sorgfalt auf Inhalt, Herkunft und Wahrheit zu pruefen (§ 19 Abs. 1 MStV).
- **Trennungsgebot:** Redaktionelle Inhalte sind von werblichen Inhalten klar zu trennen. Werbung ist als solche eindeutig zu kennzeichnen (§ 22 Abs. 1 MStV).
- **Quellenangaben:** Nachrichten und Informationen sollen nach ihrer Herkunft gekennzeichnet werden. Eigene Informationen sind von uebernommenen Meldungen zu unterscheiden.
- **Richtigstellungspflicht:** Erweist sich eine veroeffentlichte Nachricht als falsch, ist unverzueglich eine Richtigstellung zu veroeffentlichen.
### Gegendarstellungsrecht
(2) Jede natuerliche oder juristische Person kann von {{COMPANY_NAME}} die Veroeffentlichung einer Gegendarstellung verlangen, wenn in einem auf {{PLATFORM_NAME}} veroeffentlichten journalistischen Inhalt Tatsachenbehauptungen ueber sie aufgestellt wurden (§ 20 MStV).
(3) Anfragen zur Gegendarstellung sind in Textform an {{EDITORIAL_EMAIL}} zu richten. {{COMPANY_NAME}} prueft die Anfrage unverzueglich und veroeffentlicht die Gegendarstellung ohne schuldhaftes Zoegern, sofern die gesetzlichen Voraussetzungen vorliegen.
### Verantwortliche Person
(4) Verantwortlich fuer den redaktionellen Inhalt im Sinne von § 18 Abs. 2 MStV:
**{{EDITORIAL_RESPONSIBLE_NAME}}**
{{EDITORIAL_RESPONSIBLE_ADDRESS}}
{{/IF}}
---
{{#IF HAS_AI_GENERATED_CONTENT}}
## Modul 2: KI-generierte Inhalte und Kennzeichnungspflicht
### Rechtsgrundlage
Dieses Modul setzt die Transparenzpflichten fuer KI-generierte Inhalte gemaess Art. 50 der Verordnung (EU) 2024/1689 (KI-Verordnung / AI Act) um.
### Kennzeichnungspflicht
(1) Inhalte auf {{PLATFORM_NAME}}, die ganz oder teilweise durch Systeme der kuenstlichen Intelligenz erzeugt oder wesentlich veraendert wurden, muessen als solche gekennzeichnet werden. Dies gilt fuer:
- KI-generierte Texte, die ueber oeffentliche Angelegenheiten informieren
- KI-generierte oder KI-manipulierte Bilder, Audio- und Videoinhalte (Deepfakes)
- Synthetische Inhalte, die realen Personen, Gegenstaenden, Orten oder Ereignissen aehneln
(2) Die Kennzeichnung muss fuer den durchschnittlichen Nutzer **klar erkennbar** sein und erfolgt durch:
- Einen deutlich sichtbaren Hinweis am Inhalt (z.B. KI-generiert", „Mit KI erstellt")
- Maschinenlesbare Metadaten gemaess dem Stand der Technik (z.B. C2PA Content Credentials)
{{#IF DETAILED_AI_LABELING}}
(3) Im Einzelnen gelten folgende Kennzeichnungsregeln:
| Inhaltstyp | Kennzeichnung erforderlich | Beispiel |
|-----------|:---:|---|
| Vollstaendig KI-generierter Text | Ja | ChatGPT-Artikel, KI-Zusammenfassung |
| KI-unterstuetzter Text mit menschlicher Redaktion | Nein* | Menschlicher Autor nutzt KI als Schreibhilfe |
| KI-generiertes Bild | Ja | DALL-E, Midjourney, Stable Diffusion |
| KI-bearbeitetes Foto (wesentliche Aenderung) | Ja | Hintergrund ersetzt, Person hinzugefuegt |
| KI-bearbeitetes Foto (Standard-Bearbeitung) | Nein | Filter, Farbkorrektur, Zuschnitt |
| KI-generiertes Audio / Stimme | Ja | Text-to-Speech, Stimmklonung |
| KI-generiertes Video / Deepfake | Ja | Gesichts-Swap, synthetische Person |
| KI-generierte Untertitel / Transkripte | Nein | Assistenzfunktion |
*Sofern eine natuerliche oder juristische Person die redaktionelle Verantwortung fuer den Inhalt traegt.
{{/IF}}
### Ausnahmen
(4) Keine Kennzeichnungspflicht besteht fuer:
- KI-Systeme, die reine Assistenzfunktionen ausueben (z.B. Rechtschreibpruefung, Autokorrektur)
- Inhalte, bei denen ein Mensch die redaktionelle Verantwortung traegt und der KI-Einsatz den Inhalt nicht wesentlich veraendert
- Offensichtlich kuenstlerische, satirische oder fiktionale Werke, sofern die KI-Erzeugung die Darbietung nicht beeintraechtigt
### Verantwortlichkeit
(5) Die Pflicht zur Kennzeichnung trifft den Nutzer, der den KI-generierten Inhalt auf {{PLATFORM_NAME}} veroeffentlicht. {{COMPANY_NAME}} stellt Werkzeuge zur Kennzeichnung bereit und kann nicht gekennzeichnete KI-Inhalte entfernen.
(6) {{COMPANY_NAME}} setzt nach Moeglichkeit automatisierte Erkennungssysteme ein, um nicht gekennzeichnete KI-generierte Inhalte zu identifizieren.
{{/IF}}
---
{{#IF HAS_SPONSORED_CONTENT}}
## Modul 3: Werbekennzeichnung und bezahlte Inhalte
### Rechtsgrundlage
Dieses Modul setzt die Kennzeichnungspflichten fuer werbliche Inhalte gemaess § 5a Abs. 4 UWG (Gesetz gegen den unlauteren Wettbewerb) und § 22 MStV (Medienstaatsvertrag) um.
### Grundsatz der Transparenz
(1) Inhalte auf {{PLATFORM_NAME}}, die ganz oder teilweise werblichen Charakter haben, muessen als Werbung gekennzeichnet werden. Der kommerzielle Zweck muss fuer den durchschnittlichen Nutzer erkennbar sein.
(2) Ein kommerzieller Zweck liegt insbesondere vor, wenn der Nutzer fuer die Veroeffentlichung eine Gegenleistung erhaelt oder erhalten hat. Als Gegenleistung gelten:
- Geldzahlungen (Honorare, Provisionen, Affiliate-Verguetungen)
- Sachleistungen (Produkte, Reisen, Einladungen, Rabatte)
- Dienstleistungen (kostenlose Accounts, Premium-Zugaenge)
- Sonstige geldwerte Vorteile
### Kennzeichnungsregeln
(3) Werbliche Inhalte sind wie folgt zu kennzeichnen:
| Inhaltstyp | Kennzeichnung | Platzierung |
|-----------|-------------|------------|
| Bezahlte Kooperation | Werbung" oder „Anzeige" | Am Anfang des Inhalts, deutlich sichtbar |
| Affiliate-Links | Affiliate-Link" oder „Werbelink" | Unmittelbar beim Link |
| Kostenlose Produktueberlassung | Werbung" | Am Anfang des Inhalts |
| Eigenwerbung | „Eigenwerbung" (empfohlen) | Am Anfang des Inhalts |
| Redaktionell unabhaengiger Test | Keine Kennzeichnung | |
(4) Die Kennzeichnung muss **vor** dem werblichen Inhalt stehen, nicht am Ende. Hashtags wie #ad" oder „#sponsored" am Ende eines Beitrags genuegen nicht.
### Trennung redaktioneller und werblicher Inhalte
(5) Redaktionelle Inhalte und Werbung sind klar voneinander zu trennen (§ 22 Abs. 1 MStV). Eine Vermischung, die den Eindruck redaktioneller Unabhaengigkeit erweckt, ist unzulaessig.
### Verantwortlichkeit
(6) Die Pflicht zur Werbekennzeichnung trifft den Nutzer, der den werblichen Inhalt veroeffentlicht. {{COMPANY_NAME}} kann nicht gekennzeichnete werbliche Inhalte nachtraeglich kennzeichnen oder entfernen.
{{/IF}}
---
{{#IF HAS_PRESS_COUNCIL}}
## Modul 4: Pressekodex-Selbstverpflichtung
### Selbstverpflichtung
(1) {{COMPANY_NAME}} hat sich dem Deutschen Presserat angeschlossen und verpflichtet sich zur Einhaltung der Publizistischen Grundsaetze (Pressekodex) des Deutschen Presserats.
(2) Der Pressekodex ist abrufbar unter: [https://www.presserat.de/pressekodex.html]
### Wirkungen der Selbstverpflichtung
(3) Durch die Anerkennung des Pressekodex unterliegen die journalistischen Inhalte auf {{PLATFORM_NAME}}:
- Der Selbstregulierung durch den Deutschen Presserat (statt Regulierung durch die Landesmedienanstalten)
- Dem datenschutzrechtlichen Medienprivileg (§ 12 MStV), das Erleichterungen bei der Verarbeitung personenbezogener Daten zu journalistischen Zwecken vorsieht
### Beschwerden
(4) Beschwerden ueber journalistische Inhalte auf {{PLATFORM_NAME}} koennen direkt beim Deutschen Presserat eingereicht werden:
Deutscher Presserat
Fritschestraße 27/28
10585 Berlin
https://www.presserat.de/beschwerde-einreichen.html
(5) Unabhaengig davon koennen Beschwerden auch ueber das interne Beschwerdeverfahren (siehe Gemeinschaftsrichtlinien) eingereicht werden.
{{/IF}}
---
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | Stand: {{EFFECTIVE_DATE}}*
$template$,
'["PLATFORM_NAME","EFFECTIVE_DATE","COMPANY_NAME","EDITORIAL_EMAIL","EDITORIAL_RESPONSIBLE_NAME","EDITORIAL_RESPONSIBLE_ADDRESS"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'media_content_policy'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/093_privacy_policy_v2.sql
+322
View File
@@ -0,0 +1,322 @@
-- Migration 093: Datenschutzinformation (DSI) v2
-- Ueberarbeitet basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Neue Pflichtabschnitte: Datenkategorien-Tabelle, Bereitstellungspflicht (Art. 13 Abs. 2 lit. e),
-- Speicherdauer-Tabelle, Empfaenger (AV + Verantwortliche), Widerspruchsrecht hervorgehoben
UPDATE compliance_legal_templates
SET
content = $template$# {{DSI_TITLE}}
**Stand:** {{VERSION_DATE}}
**Gueltig fuer:** {{SERVICE_SCOPE_DESCRIPTION}}
---
## 1. Verantwortlicher
Verantwortlich fuer die in dieser {{DSI_TITLE}} beschriebene Verarbeitung personenbezogener Daten:
**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
{{COMPANY_ADDRESS_LINE}}
{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}, {{COMPANY_COUNTRY}}
{{#IF REPRESENTED_BY_NAME}}Gesetzlich vertreten durch: {{REPRESENTED_BY_NAME}}{{/IF}}
E-Mail: {{CONTACT_EMAIL}}
{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
---
## 2. Datenschutzbeauftragter
{{#IF HAS_DPO}}
{{#IF DPO_NAME}}Unser Datenschutzbeauftragter: **{{DPO_NAME}}**{{/IF}}
E-Mail: {{DPO_EMAIL}}
{{/IF}}
{{#IF_NOT HAS_DPO}}
Fragen zum Datenschutz richten Sie bitte an: {{CONTACT_EMAIL}}
{{/IF_NOT}}
---
## 3. Grundsaetze der Verarbeitung
Wir verarbeiten personenbezogene Daten ausschliesslich im Einklang mit der DSGVO. Wir beachten Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integritaet/Vertraulichkeit und Transparenz.
---
## 4. Welche Daten verarbeiten wir?
Die folgende Uebersicht zeigt die Kategorien personenbezogener Daten, die wir im Zusammenhang mit {{SERVICE_SCOPE_DESCRIPTION}} verarbeiten:
| Kategorie | Beispiele | Details |
|-----------|----------|---------|
| Protokolldaten | IP-Adresse, Geraetetyp, Betriebssystem, Zeitstempel | § 5 |
| Accountdaten | E-Mail, Nutzername, Passwort (gehasht), Profilbild | § 5 |
| Identifikatoren | Nutzer-ID, Geraete-ID, Session-ID | § 5 |
{{#IF HAS_UGC}} | Inhaltsdaten | Veroeffentlichte Texte, Bilder, Videos, Kommentare, Likes | § 5 | {{/IF}}
{{#IF HAS_MESSAGING}} | Kommunikationsdaten | Nachrichten zwischen Nutzern {{#IF HAS_E2E_ENCRYPTION}}(Ende-zu-Ende-verschluesselt Anbieter kann Inhalt nicht einsehen){{/IF}} | § 5 | {{/IF}}
{{#IF HAS_LOCATION}} | Standortdaten | Geographischer Standort bei Nutzung, Aufnahmeort von Inhalten | § 5 | {{/IF}}
| Nutzungsdaten | Funktionsnutzung, Verweildauer, Abrufe, Absturzberichte | § 5 |
{{#IF HAS_PAYMENTS}} | Zahlungs-/Stammdaten | Name, Anschrift, Zahlungsmethode | § 5 | {{/IF}}
{{#IF HAS_CRYPTO_PAYMENTS}} | Transaktionsdaten | Wallet-Adresse, Guthaben, Transaktionshistorie | § 5 | {{/IF}}
{{#IF HAS_IDENTITY_VERIFICATION}} | Identifizierungsdaten | Name, Geburtsdatum, Ausweisdokument, Gesichtsbild | § 5 | {{/IF}}
| Moderationsdaten | Beschwerden, Verstoesse, Sperrinformationen | § 5 |
| Korrespondenzdaten | Inhalt der Kommunikation mit dem Anbieter | § 5 |
---
## 5. Zwecke und Rechtsgrundlagen der Verarbeitung
### 5.1 Bereitstellung der Plattform und Kernfunktionen
Fuer die Bereitstellung von {{PLATFORM_NAME}} und der angebotenen Funktionen verarbeiten wir Protokolldaten, Accountdaten, Identifikatoren und Einstellungsdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).
### 5.2 Hosting und Infrastruktur
{{PLATFORM_NAME}} wird gehostet bei: **{{HOSTING_PROVIDER_NAME}}**, {{HOSTING_PROVIDER_COUNTRY}}. Mit dem Hosting-Provider besteht ein Vertrag zur Auftragsverarbeitung ({{HOSTING_PROVIDER_CONTRACT_TYPE}}).
{{#IF HAS_UGC}}
### 5.3 Veroeffentlichung und Moderation von Nutzer-Inhalten
Fuer die Bereitstellung der Inhaltsfunktionen und die Moderation verarbeiten wir Inhaltsdaten, Moderationsdaten und ggf. Standortdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung) fuer die Bereitstellung; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer die Moderation und Vermeidung rechtswidriger Nutzung.
{{/IF}}
### 5.4 IT-Sicherheit und Missbrauchserkennung
Fuer die Gewaehrleistung der IT-Sicherheit verarbeiten wir Protokolldaten, Accountdaten und Identifikatoren.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der IT-Infrastruktur).
{{#IF HAS_ANALYTICS}}
### 5.5 Nutzungsanalyse und Verbesserung
Fuer die Verbesserung von {{PLATFORM_NAME}} verarbeiten wir sofern Sie einwilligen Nutzungsdaten und Identifikatoren.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
**Details:** {{ANALYTICS_TOOLS_DETAIL}}
{{/IF}}
{{#IF HAS_PAYMENTS}}
### 5.6 Zahlungsabwicklung
Fuer kostenpflichtige Leistungen verarbeiten wir Stamm- und Transaktionsdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer steuer- und handelsrechtliche Aufbewahrung.
**Hinweis:** Zahlungsdienstleister (z.B. Stripe, PayPal) verarbeiten Ihre Zahlungsdaten als eigenstaendige Verantwortliche nicht als unsere Auftragsverarbeiter. Deren Datenschutzinformationen finden Sie in der Empfaenger-Uebersicht (§ 7).
{{PAYMENT_PROVIDER_DETAIL}}
{{/IF}}
{{#IF HAS_ONLINE_SHOP}}
### 5.7 Bestell- und Lieferfunktionen
Fuer die Bearbeitung von Bestellungen, die Berechnung von Versandkosten und Lieferzeiten sowie die Lieferung verarbeiten wir Stamm- und Protokolldaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer steuer- und handelsrechtliche Anforderungen.
{{/IF}}
{{#IF HAS_SUBSCRIPTION}}
### 5.8 Abo-Verwaltung und Kuendigung
Fuer die Verwaltung und Kuendigung von Abonnements verarbeiten wir Protokoll- und Stammdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht, insb. § 312k BGB).
{{/IF}}
{{#IF HAS_IDENTITY_VERIFICATION}}
### 5.9 Identitaetspruefung
Fuer die Verifizierung Ihrer Identitaet verarbeiten wir sofern Sie einwilligen Identifizierungsdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
{{/IF}}
### 5.8 Kontaktanfragen und Support
Bei Kontaktaufnahme verarbeiten wir Ihre Korrespondenzdaten.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b oder f DSGVO.
### 5.9 Gesetzliche Aufbewahrungspflichten und Rechtsverteidigung
Fuer die Erfuellung gesetzlicher Aufbewahrungspflichten und zur Geltendmachung, Ausuebung oder Verteidigung von Rechtsanspruechen verarbeiten wir die jeweils erforderlichen Datenkategorien.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer EU-/EWR-Recht; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer die Erfuellung rechtlicher Pflichten in Drittstaaten sowie fuer die Rechtsverteidigung.
### 5.10 Kooperation mit Behoerden
Soweit wir gesetzlich zur Herausgabe von Daten an Behoerden oder Gerichte verpflichtet sind, verarbeiten wir die jeweils erforderlichen Datenkategorien.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht).
{{#IF HAS_NEWSLETTER}}
### 5.11 Newsletter
Fuer den Newsletter-Versand verarbeiten wir Ihre E-Mail-Adresse (Double-Opt-In).
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf: Abmeldelink oder {{CONTACT_EMAIL}}.
{{NEWSLETTER_PROVIDER_DETAIL}}
{{/IF}}
{{#IF HAS_MARKETING}}
### 5.12 Marketing und Tracking
Wir setzen sofern Sie einwilligen Marketing-Tools ein.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
{{MARKETING_TOOLS_DETAIL}}
{{/IF}}
---
## 6. Sind Sie zur Bereitstellung von Daten verpflichtet?
Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Bestimmte Daten sind jedoch fuer die Nutzung von {{PLATFORM_NAME}} technisch erforderlich:
| Daten | Erforderlichkeit | Folge bei Nichtbereitstellung |
|-------|:---:|---|
| Protokolldaten, Accountdaten, Identifikatoren | Fuer Grundnutzung erforderlich | Nutzung nicht moeglich |
{{#IF HAS_UGC}} | Inhaltsdaten | Fuer Veroeffentlichung | Inhalte-Funktionen nicht nutzbar | {{/IF}}
{{#IF HAS_LOCATION}} | Standortdaten | Fuer standortbezogene Funktionen | Eingeschraenkte Funktionalitaet | {{/IF}}
{{#IF HAS_PAYMENTS}} | Zahlungs-/Transaktionsdaten | Fuer Zahlungsfunktionen | Zahlungsfunktionen nicht nutzbar | {{/IF}}
{{#IF HAS_IDENTITY_VERIFICATION}} | Identifizierungsdaten | Fuer verifizierte Funktionen | Verifizierte Funktionen nicht nutzbar | {{/IF}}
| Nutzungsdaten, Korrespondenzdaten | Optional | Keine Einschraenkung |
---
## 7. Empfaenger personenbezogener Daten
### 7.1 Auftragsverarbeiter
Wir setzen Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten. Mit allen Auftragsverarbeitern bestehen Vertraege gemaess Art. 28 DSGVO.
{{PROCESSOR_LIST}}
{{#IF HAS_PARENT_COMPANY}}
### 7.1a Verbundene Unternehmen (Konzernstruktur)
{{COMPANY_LEGAL_NAME}} uebermittelt personenbezogene Daten an folgende verbundene Unternehmen, die als Auftragsverarbeiter taetig sind:
{{AFFILIATED_COMPANIES_LIST}}
Diese verbundenen Unternehmen uebermitteln im Rahmen ihrer Leistungserbringung ggf. Daten an weitere Auftragsverarbeiter:
{{AFFILIATED_SUB_PROCESSORS_LIST}}
{{/IF}}
### 7.2 Sonstige Empfaenger (eigene Verantwortliche)
In bestimmten Faellen uebermitteln wir personenbezogene Daten an Empfaenger, die diese zu eigenen Zwecken verarbeiten:
{{THIRD_PARTY_RECIPIENTS}}
**Hinweis:** Zahlungsdienstleister, Banken und Identifizierungsdienste verarbeiten Ihre Daten als eigenstaendige Verantwortliche aufgrund eigener gesetzlicher Pflichten (KYC, AML, PSD2). Weitere Informationen entnehmen Sie deren Datenschutzinformationen.
Darueber hinaus uebermitteln wir Daten an Behoerden und Gerichte, soweit wir gesetzlich hierzu verpflichtet sind, sowie an andere Nutzer und Dritte zur Unterstuetzung bei der Geltendmachung ihrer Rechte.
---
## 8. Drittlanduebermittlungen
{{#IF HAS_THIRD_COUNTRY}}
Uebermittlungen ausserhalb der EU/des EWR koennen bei einzelnen Dienstleistern nicht ausgeschlossen werden. Wir stellen ein angemessenes Schutzniveau durch {{TRANSFER_GUARDS}} sicher.
{{/IF}}
{{#IF_NOT HAS_THIRD_COUNTRY}}
Uebermittlungen in Drittlaender ausserhalb der EU/des EWR finden nicht statt.
{{/IF_NOT}}
---
## 9. Speicherdauer
| Datenkategorie | Speicherdauer |
|---------------|--------------|
| Protokolldaten, Session-Identifikatoren | Dauer der Nutzungssession |
| Accountdaten, Einstellungen | Bis 1 Woche nach Accountloeschung |
{{#IF HAS_UGC}} | Inhaltsdaten | Bis zur Entfernung durch Nutzer/Moderation, spaetestens 1 Woche nach Accountloeschung | {{/IF}}
{{#IF HAS_LOCATION}} | Standortdaten (Echtzeit) | Dauer der Nutzungssession | {{/IF}}
| Nutzungsdaten | 4 Wochen nach Session-Ende |
{{#IF HAS_PAYMENTS}} | Stamm-, Transaktions-, Identifizierungsdaten | 6 bzw. 10 Jahre (§ 147 AO, § 257 HGB) | {{/IF}}
| Moderationsdaten | 3 Jahre nach Abschluss des Vorgangs |
| Korrespondenzdaten | 3 Jahre (allgemein), 6 Jahre (Handelsbriefe) |
**Ausnahme:** Bei sicherheits- oder rechtlich relevanten Ereignissen speichern wir die betroffenen Daten bis zur vollstaendigen Aufklaerung. Bei Rechtsstreitigkeiten bis zu deren rechtskraeftiger Beendigung.
---
## 10. Cookies und Einwilligungsmanagement
Details zu Cookies, Speicherdauern und eingesetzten Tools: {{COOKIE_POLICY_URL}}.
Einwilligung verwalten/widerrufen: {{CONSENT_WITHDRAWAL_PATH}}.
---
## 11. Sicherheit
Wir setzen technische und organisatorische Massnahmen zum Schutz Ihrer Daten ein: {{SECURITY_MEASURES_SUMMARY}}.
---
## 12. Ihre Rechte
Sie haben folgende Rechte bezueglich Ihrer personenbezogenen Daten:
{{#IF DETAILED_RIGHTS}}
- **Auskunft (Art. 15 DSGVO):** Sie haben das Recht zu erfahren, welche Daten wir verarbeiten, einschliesslich Zweck, Rechtsgrundlage und Empfaenger. Sie koennen eine Kopie Ihrer Daten anfordern.
- **Berichtigung (Art. 16 DSGVO):** Sie koennen die Berichtigung unrichtiger oder die Vervollstaendigung unvollstaendiger Daten verlangen.
- **Loeschung (Art. 17 DSGVO):** Sie koennen die Loeschung Ihrer Daten verlangen, wenn diese nicht mehr erforderlich sind oder unrechtmaessig verarbeitet werden.
- **Einschraenkung (Art. 18 DSGVO):** Sie koennen die Einschraenkung der Verarbeitung verlangen, z.B. wenn Sie die Richtigkeit bestreiten.
- **Datenuebertragbarkeit (Art. 20 DSGVO):** Sie haben das Recht, Ihre Daten in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten.
{{/IF}}
{{#IF_NOT DETAILED_RIGHTS}}
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Loeschung (Art. 17 DSGVO)
- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
- Datenuebertragbarkeit (Art. 20 DSGVO)
{{/IF_NOT}}
Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
### Widerrufsrecht
Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberuehrt.
### Widerspruchsrecht
**Sie haben das Recht, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwuerdige Gruende vor.**
{{#IF HAS_MARKETING}}
**Gegen die Verarbeitung Ihrer Daten fuer Zwecke der Direktwerbung koennen Sie jederzeit ohne Angabe von Gruenden Widerspruch einlegen.**
{{/IF}}
---
## 13. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehoerde zu beschweren (Art. 77 DSGVO):
**{{SUPERVISORY_AUTHORITY_NAME}}**
{{SUPERVISORY_AUTHORITY_ADDRESS}}
---
## 14. Aenderungen
Wir koennen diese {{DSI_TITLE}} anpassen. Die aktuelle Version finden Sie unter {{WEBSITE_URL}}.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
title = 'Datenschutzinformation / Datenschutzerklaerung (DSGVO, modular)',
description = 'Vollstaendige Datenschutzinformation nach DSGVO Art. 13/14 mit modularen Abschnitten. Inkl. Datenkategorien-Tabelle, Zweck-Rechtsgrundlage-Zuordnung, Bereitstellungspflicht (Art. 13 Abs. 2 lit. e), Speicherdauer-Tabelle, Empfaenger (AV + Verantwortliche mit Stripe-Hinweis), hervorgehobenes Widerspruchsrecht (Art. 21 Abs. 4). DSI/DSE Titel waehlbar.',
version = '2.0.0',
updated_at = NOW()
WHERE document_type = 'privacy_policy'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/094_terms_of_use.sql
+263
View File
@@ -0,0 +1,263 @@
-- Migration 094: Nutzungsbedingungen (Terms of Use) — Neues Template
-- Separates Dokument von AGB (B2B) — richtet sich an Endnutzer
-- Module: Registrierung, Identitaetspruefung, Zugangsdaten, UGC, Tipping,
-- Wallet, Content Auth, CC-Lizenzen, TDM-Opt-out, Sperrung, Kuendigung
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'terms_of_use',
'Nutzungsbedingungen (Endnutzer, modular)',
'Nutzungsbedingungen fuer Endnutzer von Apps und Plattformen. 10 Paragraphen mit modularen Bloecken fuer UGC, Tipping, Wallet, Content Authenticity, Creative Commons, KI-Kennzeichnung, Sperrung/Kuendigung. Ergaenzt AGB (B2B) und Community Guidelines.',
$template$# Nutzungsbedingungen fuer {{PLATFORM_NAME}}
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## § 1 Anwendungsbereich
(1) Diese Nutzungsbedingungen regeln die Nutzung von {{PLATFORM_NAME}} (die Plattform"). Die Plattform wird von {{COMPANY_LEGAL_NAME}}, {{COMPANY_ADDRESS_FULL}} („Anbieter") betrieben.
(2) Mit der Registrierung oder Nutzung der Plattform erklaert sich der Nutzer mit diesen Nutzungsbedingungen einverstanden.
(3) Diese Nutzungsbedingungen gelten ergaenzend zu den Allgemeinen Geschaeftsbedingungen und den Gemeinschaftsrichtlinien des Anbieters.
---
## § 2 Registrierung und Nutzerkonto
(1) Die Nutzung von {{PLATFORM_NAME}} setzt eine Registrierung voraus. Mit der Bestaetigung der Registrierung durch den Anbieter kommt ein Nutzungsvertrag nach Massgabe dieser Nutzungsbedingungen und der Gemeinschaftsrichtlinien zustande. Ein Anspruch auf Bestaetigung der Registrierung besteht nicht.
(2) Natuerliche Personen muessen zum Zeitpunkt der Registrierung mindestens {{MIN_AGE}} Jahre alt und voll geschaeftsfaehig sein. {{#IF ALLOWS_MINORS}} Minderjaehrige ab {{MIN_AGE}} Jahren benoetigen die Einwilligung eines Erziehungsberechtigten. {{/IF}} Die Registrierung einer juristischen Person darf nur durch eine vertretungsberechtigte Person erfolgen.
(3) Jeder Nutzer darf nur ein Nutzerkonto fuehren. Das Nutzerkonto ist nicht uebertragbar.
(4) Die im Registrierungsprozess abgefragten Pflichtangaben sind vollstaendig und korrekt anzugeben und bei Aenderungen unverzueglich zu aktualisieren.
{{#IF HAS_IDENTITY_VERIFICATION}}
### Identitaetspruefung
(5) Bestimmte Funktionen von {{PLATFORM_NAME}} ({{VERIFICATION_REQUIRED_FEATURES}}) setzen eine erfolgreiche Identitaetspruefung voraus. Der Anbieter schaltet diese Funktionen frei, sobald die Identitaet des Nutzers ueber das angebotene Identifizierungsverfahren verifiziert wurde.
(6) Informationen zur Verarbeitung personenbezogener Daten im Rahmen der Identitaetspruefung sind in der Datenschutzerklaerung unter {{PRIVACY_POLICY_URL}} abrufbar.
{{/IF}}
---
## § 3 Zugangsdaten und Kontosicherheit
(1) Der Nutzer ist verpflichtet, seine Zugangsdaten geheim zu halten und den Zugang zu seinem Nutzerkonto vor unbefugter Nutzung durch Dritte zu schuetzen.
(2) Hat der Nutzer den begruendeten Verdacht, dass Dritte von seinen Zugangsdaten Kenntnis erlangt haben, ist er verpflichtet, den Anbieter unverzueglich zu informieren und sein Passwort zu aendern.
(3) Der Nutzer ist fuer Aktivitaeten verantwortlich, die unter seinen Zugangsdaten ausgefuehrt werden, sofern er die Kompromittierung nicht unverzueglich gemeldet und seine Sorgfaltspflichten erfuellt hat.
{{#IF HAS_MFA}}
(4) {{#IF MFA_REQUIRED}} Die Nutzung der Zwei-Faktor-Authentifizierung ist fuer alle Nutzer verpflichtend. {{/IF}} {{#IF_NOT MFA_REQUIRED}} Der Anbieter empfiehlt die Aktivierung der Zwei-Faktor-Authentifizierung. {{/IF_NOT}}
{{/IF}}
---
## § 4 Funktionen und Inhalte
(1) Die verfuegbaren Funktionen von {{PLATFORM_NAME}} ergeben sich aus der jeweils aktuellen Leistungsbeschreibung. Der Anbieter kann Funktionen weiterentwickeln, sofern Kernfunktionen im Wesentlichen erhalten bleiben.
(2) Der Anbieter prueft die vom Nutzer eingegebenen Daten nicht auf inhaltliche Richtigkeit oder rechtliche Zulaessigkeit. Die inhaltliche Verantwortung liegt beim Nutzer.
{{#IF HAS_UGC}}
(3) Nutzer koennen eigene Inhalte (Text, Bilder, Videos, Audio) auf {{PLATFORM_NAME}} veroeffentlichen. Bei der Veroeffentlichung gelten die Gemeinschaftsrichtlinien. Der Anbieter kann Inhalte ablehnen oder entfernen, die gegen die Nutzungsbedingungen, die Gemeinschaftsrichtlinien oder geltendes Recht verstossen.
{{/IF}}
{{#IF HAS_MESSAGING}}
(4) Nutzer koennen veroeffentlichte Inhalte kommentieren und untereinander Nachrichten austauschen. Fuer Kommentare und Nachrichten gelten die Gemeinschaftsrichtlinien.
{{/IF}}
{{#IF HAS_TIPPING}}
### Anerkennungsfunktion (Tipping)
(5) Nutzer koennen anderen Nutzern fuer veroeffentlichte Inhalte eine Anerkennung aussprechen. Mit der Anerkennung kann optional eine Zuwendung in {{SUPPORTED_CURRENCIES}} verbunden werden.
(6) Fuer Zuwendungen wird eine Nutzungsgebuehr in Hoehe von {{TIPPING_FEE_PERCENT}} % erhoben, die automatisch von der Zuwendung abgezogen wird.
(7) Die Anerkennungsfunktion darf ausschliesslich fuer freiwillige Zuwendungen genutzt werden. Die Abwicklung von Geschaeften ausserhalb von {{PLATFORM_NAME}} ist ueber diese Funktion nicht gestattet.
{{/IF}}
{{#IF HAS_CONTENT_AUTHENTICITY}}
### Authentizitaetspruefung von Inhalten
(8) {{PLATFORM_NAME}} bietet ein Verfahren zur Verifizierung der Urheberschaft von Inhalten an. Bei erfolgreicher Verifizierung werden den Metadaten des Inhalts automatisch kryptographische Herkunftsinformationen hinzugefuegt.
{{/IF}}
---
{{#IF HAS_CRYPTO_PAYMENTS}}
## § 4a Transaktionen mit Kryptowerten
(1) Transaktionen auf {{PLATFORM_NAME}} koennen in {{SUPPORTED_CURRENCIES}} abgewickelt werden. Kryptowerte sind digitale Darstellungen eines Wertes, die nicht von einer Zentralbank emittiert oder garantiert werden und nicht den gesetzlichen Status einer Waehrung besitzen.
(2) **Risikohinweis:** Der Wert von Kryptowerten unterliegt Schwankungen. Es ist nicht gewaehrleistet, dass Kryptowerte von Dritten als Zahlungsmittel akzeptiert oder in gesetzliche Waehrungen getauscht werden koennen.
(3) Betraege werden in {{SUPPORTED_CURRENCIES}} sowie informationshalber in Euro angezeigt. Die Umrechnung erfolgt auf Basis des zuletzt festgestellten Wechselkurses.
(4) {{COMPANY_NAME}} ist nicht als Zahlungsdienstleister oder Kryptowerte-Dienstleister taetig, sondern stellt lediglich die technische Infrastruktur fuer Transaktionen zwischen Nutzern bereit.
{{#IF HAS_INTEGRATED_WALLET}}
### Wallet
(5) Fuer die Abwicklung von Transaktionen stellt {{PLATFORM_NAME}} dem Nutzer ein integriertes Wallet zur Verfuegung. Das Wallet wird lokal auf dem Endgeraet des Nutzers gespeichert. {{COMPANY_NAME}} hat keinen Zugriff auf das Wallet oder die darin gespeicherten Guthaben.
(6) Der Nutzer sichert sein Wallet durch einen geheimen Schluessel (Seed/Recovery-Phrase), den ausschliesslich der Nutzer kennt. {{COMPANY_NAME}} kann diesen weder einsehen noch wiederherstellen.
(7) **Wichtiger Hinweis:** Bei Verlust des Endgeraets, Deinstallation der Software oder Vergessen des Schluessels kann {{COMPANY_NAME}} das Wallet und das darin gespeicherte Guthaben nicht wiederherstellen. Der Nutzer traegt die alleinige Verantwortung fuer die sichere Aufbewahrung seines Schluessels.
{{/IF}}
{{/IF}}
---
## § 5 Nutzungsrechte und Urheberrecht
### Nutzungsrecht des Nutzers
(1) Der Anbieter raeumt dem Nutzer ein einfaches, nicht uebertragbares, auf die Vertragsdauer beschraenktes Nutzungsrecht an {{PLATFORM_NAME}} im Rahmen der jeweils aktuellen Leistungsbeschreibung ein. Zur Nutzung gehoert das Laden in den Arbeitsspeicher und die Installation auf den vom Nutzer eingesetzten Endgeraeten. Gesetzliche Nutzungsrechte (insb. §§ 69d, 69e UrhG) bleiben unberuehrt.
{{#IF HAS_END_USERS}}
(2) Nutzer im Sinne dieser Nutzungsbedingungen gelten nicht als Dritte. Eine Ueberlassung an sonstige Dritte, Unterlizenzierung oder oeffentliche Zugaenglichmachung ist untersagt.
{{/IF}}
(3) Reverse Engineering, Dekompilierung und Umgehung von Sicherheitsmechanismen sind untersagt, soweit gesetzlich zulaessig.
{{#IF HAS_UGC}}
### Nutzungsrecht des Anbieters an Nutzer-Inhalten
(4) An Inhalten, die der Nutzer auf {{PLATFORM_NAME}} veroeffentlicht, raeumt der Nutzer dem Anbieter ein einfaches, nicht uebertragbares Nutzungsrecht ein, das sachlich auf den Betrieb von {{PLATFORM_NAME}} und zeitlich auf die vom Nutzer bestimmte Veroeffentlichungsdauer beschraenkt ist.
{{/IF}}
{{#IF HAS_CONTENT_LICENSING}}
### Lizenzierung von Nutzer-Inhalten (Creative Commons)
(5) Der Nutzer kann bei der Veroeffentlichung eines Inhalts festlegen, unter welcher Lizenz andere Nutzer diesen Inhalt verwenden duerfen. Ohne ausdrueckliche Lizenzwahl gilt: Alle Rechte vorbehalten.
(6) Verfuegbare Lizenzen: CC0, CC BY, CC BY-SA, CC BY-NC, CC BY-NC-SA, CC BY-ND, CC BY-NC-ND (jeweils Version 4.0 International). Der vollstaendige Lizenztext ist unter [https://creativecommons.org/licenses/] abrufbar.
(7) Die Lizenzwahl ist verbindlich und kann fuer bereits veroeffentlichte Inhalte nicht nachtraeglich eingeschraenkt werden. Der Nutzer kann einen Inhalt jederzeit entfernen; bereits erteilte Lizenzen bleiben hiervon unberuehrt.
(8) Der Nutzer versichert, dass er ueber die erforderlichen Rechte verfuegt, um den Inhalt unter der gewaehlten Lizenz zu veroeffentlichen.
{{/IF}}
{{#IF HAS_TDM_OPTOUT}}
### Text- und Data-Mining
(9) Die Vervielfaeltigung und Entnahme von Inhalten auf {{PLATFORM_NAME}} zum Zwecke des Text- und Data-Mining (Art. 4 Richtlinie (EU) 2019/790) ist untersagt. {{#IF HAS_CONTENT_LICENSING}} Hiervon ausgenommen sind Inhalte, deren Lizenzbestimmungen dies ausdruecklich gestatten. {{/IF}}
{{/IF}}
### Rechte Dritter und Freistellung
(10) Der Nutzer ist verpflichtet, bei der Veroeffentlichung von Inhalten alle gesetzlichen Vorschriften und Rechte Dritter zu beachten.
(11) Macht ein Dritter gegenueber dem Anbieter Ansprueche wegen einer Rechtsverletzung durch Nutzer-Inhalte geltend, stellt der Nutzer den Anbieter von diesen Anspruechen einschliesslich der Kosten einer angemessenen Rechtsverteidigung frei, sofern der Nutzer die Rechtsverletzung zu vertreten hat.
{{#IF HAS_COPYRIGHT_TAKEDOWN}}
(12) Rechteinhaber koennen die Entfernung rechtsverletzender Inhalte unter {{REPORT_EMAIL}} beantragen. Der Anbieter prueft die Berechtigung und informiert den betroffenen Nutzer, der innerhalb von 14 Tagen eine Gegendarstellung einreichen kann.
{{/IF}}
---
## § 6 Sperrung und Einschraenkung des Zugangs
(1) Der Anbieter kann den Zugang des Nutzers voruebergehend ganz oder teilweise einschraenken oder sperren, wenn der begruendete Verdacht besteht, dass der Nutzer gegen diese Nutzungsbedingungen, die Gemeinschaftsrichtlinien oder geltendes Recht verstoesst und ein unmittelbares Handeln zur Schadensabwehr erforderlich ist.
(2) Der Anbieter kann den Zugang ferner voruebergehend sperren, wenn Tatsachen die Annahme rechtfertigen, dass Dritte den Zugang unbefugt nutzen.
(3) Die Einschraenkung oder Sperrung wird auf den zur Schadensabwehr erforderlichen Zeitraum begrenzt. Der Anbieter informiert den Nutzer nach Moeglichkeit vor, jedenfalls aber unverzueglich nach einer Sperrung per E-Mail. Nach Wegfall des Sperrgrundes wird der Zugang automatisch reaktiviert.
(4) Bei wiederholten oder fortgesetzten Verstoessen trotz Abmahnung kann der Anbieter den Zugang dauerhaft sperren. {{#IF DATA_EXPORT_BEFORE_DELETION}} Der Nutzer erhaelt eine Frist von {{EXPORT_BEFORE_DELETION_DAYS}} Tagen zum Export seiner Inhalte, bevor das Nutzerkonto endgueltig geloescht wird. {{/IF}} Ein dauerhaft gesperrtes Konto kann nicht reaktiviert werden.
(5) Der Nutzer kann gegen eine Sperrung im Rahmen des in den Gemeinschaftsrichtlinien beschriebenen Beschwerdeverfahrens Einspruch einlegen.
---
## § 7 Kuendigung
(1) Der Nutzer kann den Nutzungsvertrag jederzeit ohne Angabe von Gruenden kuendigen. Die Kuendigung kann in Textform oder ueber die im Nutzerkonto bereitgestellte Kuendigungsfunktion (§ 312k BGB) erfolgen.
(2) Der Anbieter kann den Nutzungsvertrag mit einer Frist von 14 Tagen zum Monatsende kuendigen.
(3) Das Recht beider Parteien zur Kuendigung aus wichtigem Grund bleibt unberuehrt.
(4) Nach Kuendigung kann der Nutzer seine Inhalte und Daten innerhalb von {{EXPORT_BEFORE_DELETION_DAYS}} Tagen exportieren. Nach Ablauf dieser Frist werden die Daten gemaess den Regelungen des AVV geloescht.
{{#IF HAS_CONTENT_LICENSING}}
(5) Bereits erteilte Lizenzen an Nutzer-Inhalten bleiben von der Kuendigung unberuehrt, soweit die jeweilige Lizenz dies vorsieht.
{{/IF}}
(6) Nutzern, deren Zugang wegen wiederholter Verstoesse dauerhaft gesperrt wurde (§ 6 Abs. 4), ist eine erneute Registrierung untersagt.
---
## § 8 Haftung
(1) Der Anbieter haftet fuer Schaeden nur bei Vorsatz, grober Fahrlaessigkeit oder bei leicht fahrlaessiger Verletzung wesentlicher Vertragspflichten. Wesentliche Vertragspflichten sind solche, deren Erfuellung die ordnungsgemaesse Durchfuehrung des Nutzungsvertrages erst ermoeglicht und auf deren Einhaltung der Nutzer regelmaessig vertrauen darf.
(2) Bei leicht fahrlaessiger Verletzung wesentlicher Vertragspflichten ist die Haftung auf den vorhersehbaren, vertragstypischen Schaden begrenzt.
(3) Die vorstehenden Beschraenkungen gelten nicht fuer Schaeden aus der Verletzung von Leben, Koerper oder Gesundheit, fuer Ansprueche aus Garantien sowie fuer Ansprueche nach dem Produkthaftungsgesetz.
(4) Die verschuldensunabhaengige Haftung fuer bei Vertragsschluss vorhandene Maengel (§ 536a Abs. 1 BGB) ist ausgeschlossen.
(5) Fuer Datenverlust haftet der Anbieter nur, soweit der Schaden auch bei ordnungsgemaesser Datensicherung durch den Nutzer eingetreten waere.
{{#IF HAS_PAID_USER_ACCOUNTS}}
## § 8a Aufrechnung und Abtretung
(1) Der Nutzer kann gegenueber dem Anbieter nur mit unbestrittenen oder rechtskraeftig festgestellten Forderungen aufrechnen.
{{/IF}}
---
## § 9 Schlussbestimmungen
### Aenderungen
(1) Der Anbieter kann diese Nutzungsbedingungen und die Gemeinschaftsrichtlinien aus sachlichem Grund aendern. Aenderungen werden dem Nutzer mindestens 30 Tage vor Inkrafttreten in Textform mitgeteilt. Widerspricht der Nutzer nicht vor Inkrafttreten in Textform, gelten die Aenderungen als angenommen. Der Anbieter weist ausdruecklich auf das Ablehnungsrecht und die Folgen des Schweigens hin.
### Kommunikation und Form
(2) Erklaerungen des Nutzers gegenueber dem Anbieter beduerfen der Textform. Die Kuendigung kann auch ueber die im Nutzerkonto bereitgestellte Kuendigungsfunktion (§ 312k BGB) erfolgen.
(3) Der Anbieter kommuniziert mit dem Nutzer per E-Mail an die im Nutzerkonto hinterlegte Adresse.
### Anwendbares Recht
(4) Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. {{#IF HAS_EU_USERS}} Fuer Verbraucher mit Wohnsitz in der EU gelten zusaetzlich die zwingenden Verbraucherschutzbestimmungen ihres Wohnsitzstaates. {{/IF}}
### Streitbeilegung
(5) Der Anbieter ist nicht verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§ 36 VSBG). Das Recht auf aussergerichtliche Streitbeilegung bei Content-Moderation-Entscheidungen gemaess den Gemeinschaftsrichtlinien bleibt hiervon unberuehrt.
### Salvatorische Klausel
(6) Die Unwirksamkeit einzelner Bestimmungen beruehrt die Gueltigkeit der uebrigen Bestimmungen nicht.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["PLATFORM_NAME","COMPANY_LEGAL_NAME","COMPANY_ADDRESS_FULL","VERSION_DATE","MIN_AGE","PRIVACY_POLICY_URL","SUPPORTED_CURRENCIES","TIPPING_FEE_PERCENT","REPORT_EMAIL","EXPORT_BEFORE_DELETION_DAYS","VERIFICATION_REQUIRED_FEATURES","COMPANY_NAME"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'terms_of_use'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/095_widerrufsbelehrung_v2.sql
+124
View File
@@ -0,0 +1,124 @@
-- Migration 095: Widerrufsbelehrung v2
-- Gesetzlich vorgeschriebenes Muster (Art. 246a EGBGB) mit Bloecken fuer:
-- SaaS/digitale Inhalte (§ 356 Abs. 5 BGB)
-- Physische Waren (Ruecksendung)
-- Kombi-Paket (Hardware + Software)
-- Nur relevant fuer B2C — bei B2B_ONLY nicht anwendbar
UPDATE compliance_legal_templates
SET
title = 'Widerrufsbelehrung (B2C, SaaS/Waren/Kombi)',
description = 'Gesetzliche Widerrufsbelehrung nach Art. 246a EGBGB mit modularen Bloecken fuer SaaS/digitale Inhalte, physische Waren und Kombi-Pakete. Inkl. Muster-Widerrufsformular. Nur fuer B2C-Vertraege.',
content = $template$# Widerrufsbelehrung
## 1. Allgemeine Informationen
Verbraucher haben bei Abschluss eines Fernabsatzgeschaefts ein gesetzliches Widerrufsrecht, ueber das {{COMPANY_LEGAL_NAME}} nachfolgend informiert.
---
## 2. Widerrufsrecht
(1) Sie haben das Recht, binnen 14 Tagen ohne Angabe von Gruenden diesen Vertrag zu widerrufen.
{{#IF HAS_PHYSICAL_GOODS}}
(2) Die Widerrufsfrist betraegt 14 Tage ab dem Tag, an dem Sie oder ein von Ihnen benannter Dritter, der nicht der Befoerderer ist, die Waren in Besitz genommen haben bzw. hat. Bei mehreren Waren in getrennten Lieferungen beginnt die Frist mit Besitznahme der letzten Ware.
{{/IF}}
{{#IF_NOT HAS_PHYSICAL_GOODS}}
(2) Die Widerrufsfrist betraegt 14 Tage ab dem Tag des Vertragsschlusses.
{{/IF_NOT}}
(3) Um Ihr Widerrufsrecht auszuueben, muessen Sie uns
**{{COMPANY_LEGAL_NAME}}**
{{COMPANY_ADDRESS_LINE}}
{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}
{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
E-Mail: {{CONTACT_EMAIL}}
mittels einer eindeutigen Erklaerung (z.B. per Post oder E-Mail) ueber Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie koennen dafuer das Muster-Widerrufsformular (Abschnitt 5) verwenden, dies ist jedoch nicht vorgeschrieben.
(4) Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung ueber die Ausuebung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.
---
## 3. Folgen des Widerrufs
(1) Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschliesslich etwaiger Lieferkosten (mit Ausnahme zusaetzlicher Kosten durch eine von Ihnen gewaehlte andere als die guenstigste Standardlieferung), unverzueglich und spaetestens binnen 14 Tagen ab dem Tag zurueckzuzahlen, an dem die Mitteilung ueber Ihren Widerruf bei uns eingegangen ist.
(2) Fuer die Rueckzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der urspruenglichen Transaktion eingesetzt haben, es sei denn, es wurde ausdruecklich etwas anderes vereinbart. In keinem Fall werden Ihnen wegen dieser Rueckzahlung Entgelte berechnet.
{{#IF HAS_PHYSICAL_GOODS}}
(3) Wir koennen die Rueckzahlung verweigern, bis wir die Waren zurueckerhalten haben oder bis Sie den Nachweis der Ruecksendung erbracht haben, je nachdem, welches der fruehere Zeitpunkt ist.
(4) Sie haben die Waren unverzueglich und in jedem Fall spaetestens binnen 14 Tagen ab dem Tag, an dem Sie uns ueber den Widerruf informieren, an {{RETURN_ADDRESS}} zurueckzusenden. Die Frist ist gewahrt, wenn Sie die Waren vor Ablauf der 14-Tage-Frist absenden.
(5) Sie tragen die unmittelbaren Kosten der Ruecksendung der Waren.
(6) Sie muessen fuer einen etwaigen Wertverlust der Waren nur aufkommen, wenn dieser auf einen zur Pruefung der Beschaffenheit, Eigenschaften und Funktionsweise nicht notwendigen Umgang zurueckzufuehren ist.
{{/IF}}
{{#IF HAS_COMBO_PACKAGE}}
(7) Fuer den Kauf eines Kombi-Pakets (Hardware und Software) gelten die vorstehenden Regelungen zur Ruecksendung der physischen Ware entsprechend.
{{/IF}}
---
## 4. Ausschluss- und Erloeschengruende
Das Widerrufsrecht besteht nicht oder erlischt vorzeitig in folgenden Faellen:
{{#IF HAS_DIGITAL_CONTENT}}
(a) Bei Vertraegen ueber die Bereitstellung digitaler Inhalte, die nicht auf einem koerperlichen Datentraeger geliefert werden, erlischt das Widerrufsrecht, wenn der Anbieter mit der Ausfuehrung des Vertrags begonnen hat, nachdem der Verbraucher ausdruecklich zugestimmt hat, dass der Anbieter mit der Ausfuehrung vor Ablauf der Widerrufsfrist beginnt, und der Verbraucher seine Kenntnis davon bestaetigt hat, dass er durch seine Zustimmung sein Widerrufsrecht verliert (§ 356 Abs. 5 BGB).
{{/IF}}
{{#IF HAS_SAAS_SERVICE}}
(b) Bei Vertraegen ueber die Erbringung von Dienstleistungen erlischt das Widerrufsrecht, wenn der Anbieter die Dienstleistung vollstaendig erbracht hat und mit der Ausfuehrung erst begonnen hat, nachdem der Verbraucher dazu seine ausdrueckliche Zustimmung gegeben und gleichzeitig seine Kenntnis davon bestaetigt hat, dass er sein Widerrufsrecht bei vollstaendiger Vertragsererfuellung verliert (§ 356 Abs. 4 BGB).
{{/IF}}
{{#IF HAS_PHYSICAL_GOODS}}
(c) Bei Vertraegen zur Lieferung von Ton- und Videoaufnahmen oder Computersoftware in einer versiegelten Packung erlischt das Widerrufsrecht, wenn die Versiegelung nach der Lieferung entfernt wurde.
{{/IF}}
{{#IF HAS_IOT_BUNDLE}}
(d) Bei Vertraegen ueber ein verbundenes Produkt (Hardware mit zugehoeriger App und/oder Cloud-Dienst) erstreckt sich der Widerruf auf das gesamte Produkt. Bei Rueckgabe der Hardware endet der Zugang zu den verbundenen digitalen Diensten. {{#IF IOT_SEPARATE_CONTRACTS}} Abweichend hiervon koennen Hardware-Kaufvertrag und Cloud-Dienstvertrag unabhaengig voneinander widerrufen werden, sofern die Produkte auch einzeln nutzbar sind. {{/IF}}
{{/IF}}
(e) Unternehmer im Sinne von § 14 BGB haben kein Widerrufsrecht.
---
## 5. Muster-Widerrufsformular
*(Wenn Sie den Vertrag widerrufen wollen, fuellen Sie bitte dieses Formular aus und senden Sie es zurueck.)*
An:
{{COMPANY_LEGAL_NAME}}
{{COMPANY_ADDRESS_LINE}}
{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}
E-Mail: {{CONTACT_EMAIL}}
Hiermit widerrufe(n) ich/wir (*) den von mir/uns (*) abgeschlossenen Vertrag ueber den Kauf der folgenden Waren (*) / die Erbringung der folgenden Dienstleistung (*):
\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
Bestellt am (*) / erhalten am (*): \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
Name des/der Verbraucher(s): \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
Anschrift des/der Verbraucher(s): \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
Datum: \_\_\_\_\_\_\_\_\_\_ Unterschrift: \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_
(*) Unzutreffendes streichen.
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
version = '2.0.0',
updated_at = NOW()
WHERE document_type = 'widerruf'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
backend-compliance/migrations/096_social_media_dsi.sql
+199
View File
@@ -0,0 +1,199 @@
-- Migration 096: Social Media Datenschutzinformation
-- Separater Dokumenttyp fuer DSI der Social-Media-Praesenz
-- Art. 26 DSGVO Joint Controllership, plattform-modular
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT
gen_random_uuid(),
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'social_media_dsi',
'Datenschutzinformation — Social Media (Art. 26 DSGVO)',
'Datenschutzinformation fuer Social-Media-Praesenz des Unternehmens. Modulare Plattform-Bloecke (Facebook/Instagram, YouTube, LinkedIn, TikTok, X). Art. 26 Joint Controllership, Page Insights, Meta Pixel, Drittlanduebermittlung (DPF).',
$template$# Datenschutzinformation Social Media
Informationen zum Datenschutz bei Nutzung unserer Social-Media-Kanaele
gemaess Art. 13, 14 DSGVO
**Stand:** {{VERSION_DATE}}
---
Im Folgenden informieren wir Sie ueber die Verarbeitung Ihrer personenbezogenen Daten beim Besuch und bei der Nutzung unserer Social-Media-Kanaele auf {{SOCIAL_MEDIA_PLATFORMS_LIST}} (im Folgenden Social-Media-Plattformen") sowie ueber Ihre Rechte im Datenschutz.
## 1. Grundsaetze
Bitte pruefen Sie sorgfaeltig, welche personenbezogenen Daten Sie ueber Social-Media-Plattformen mit uns teilen. Wenn Sie vermeiden moechten, dass der Plattformbetreiber von Ihnen uebermittelte Daten verarbeitet, kontaktieren Sie uns bitte auf anderem Wege (z.B. per E-Mail oder Post).
Sie koennen sich ueber uns und unsere Angebote auch ueber {{WEBSITE_URL}} informieren in diesem Fall erhalten die Plattformbetreiber keinerlei Informationen.
---
## 2. Verantwortliche
Verantwortlich gemaess Art. 4 Nr. 7 DSGVO sind:
**(a) {{COMPANY_LEGAL_NAME}}**
{{COMPANY_ADDRESS_FULL}}
{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
E-Mail: {{CONTACT_EMAIL}}
**(b) der jeweilige Plattformbetreiber:**
{{#IF HAS_FACEBOOK}}
- **Facebook & Instagram:** Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland
{{/IF}}
{{#IF HAS_YOUTUBE}}
- **YouTube:** Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland
{{/IF}}
{{#IF HAS_LINKEDIN}}
- **LinkedIn:** LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Irland
{{/IF}}
{{#IF HAS_TIKTOK}}
- **TikTok:** TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, D02 T380, Irland
{{/IF}}
{{#IF HAS_X_TWITTER}}
- **X (Twitter):** Twitter International Unlimited Company, One Cumberland Place, Dublin 2, D02 AP32, Irland
{{/IF}}
### Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
Wenn Nutzer unsere Social-Media-Kanaele besuchen, erheben die Plattformbetreiber Daten, die insbesondere in Statistiken (sog. Seiten-Insights/Page Insights) fliessen. Fuer diese Verarbeitungen haben wir mit den Plattformbetreibern Vereinbarungen ueber die gemeinsame Verantwortlichkeit gemaess Art. 26 DSGVO geschlossen:
{{#IF HAS_FACEBOOK}}
- Facebook & Instagram: [Page Controller Addendum](https://facebook.com/legal/terms/page_controller_addendum)
{{/IF}}
{{#IF HAS_YOUTUBE}}
- YouTube: [YouTube Analytics Controller Terms](https://support.google.com/youtube/answer/9002587)
{{/IF}}
---
## 3. Datenschutzbeauftragter
Unseren Datenschutzbeauftragten erreichen Sie unter:
{{COMPANY_LEGAL_NAME}} | z.Hd. Datenschutzbeauftragter | {{DPO_EMAIL}}
Datenschutzbeauftragte der Plattformbetreiber:
{{#IF HAS_FACEBOOK}}
- Facebook & Instagram: [Kontakt](https://www.facebook.com/help/contact/540977946302970)
{{/IF}}
{{#IF HAS_YOUTUBE}}
- YouTube: [Kontakt](https://support.google.com/policies/contact/general_privacy_form)
{{/IF}}
---
## 4. Cookies und Tracking
Die Plattformbetreiber setzen Cookies und vergleichbare Technologien ein, auf die wir keinen Einfluss haben. Informationen zu den eingesetzten Cookies finden Sie bei den jeweiligen Anbietern:
{{#IF HAS_FACEBOOK}}
- Facebook & Instagram: [Cookie-Richtlinie](https://facebook.com/policies/cookies/)
{{/IF}}
{{#IF HAS_YOUTUBE}}
- YouTube: [Cookie-Einstellungen](https://consent.youtube.com/)
{{/IF}}
**Empfehlung:** Loggen Sie sich aus Ihren Social-Media-Konten aus, bevor Sie unsere Kanaele besuchen, und loeschen Sie vorhandene Cookies. Sie koennen auch die Cookie-Einstellungen Ihres Browsers anpassen.
---
## 5. Verarbeitung personenbezogener Daten
**Betroffene:** Besucher und Nutzer unserer Social-Media-Kanaele
**Datenkategorien:** Interaktionsdaten (Likes, Kommentare, Shares, Follows), Profilinformationen, die Sie oeffentlich teilen, Insights-Daten (aggregierte Statistiken)
**Seiten-Insights:** Wir erhalten vom Plattformbetreiber aggregierte, anonymisierte oder pseudonymisierte Statistiken ueber die Nutzung unserer Kanaele. Ein Rueckschluss auf Sie als individualisierbare Person ist fuer uns nicht moeglich. Eine Zusammenfuehrung mit bei uns gespeicherten Daten nehmen wir nicht vor.
**Zwecke:**
- Bereitstellung und Betreuung unserer Social-Media-Kanaele
- Kommunikation und Interaktion mit Nutzern
- Beantwortung von Kontaktanfragen
- Analyse und Optimierung unserer Inhalte anhand von Insights-Daten
- Durchfuehrung von Marketingaktivitaeten
{{#IF HAS_RECRUITING_VIA_SOCIAL}} - Personalgewinnung und Bearbeitung von Bewerbungen {{/IF}}
**Rechtsgrundlagen:**
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer Kommunikation, Analyse und Marketing
{{#IF HAS_RECRUITING_VIA_SOCIAL}} - Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen) fuer Bewerbungsverfahren {{/IF}}
- Art. 9 Abs. 2 lit. e DSGVO soweit Sie von sich aus besondere Kategorien von Daten (z.B. Gesundheitsdaten) oeffentlich machen
Datenschutzinformationen der Plattformbetreiber:
{{#IF HAS_FACEBOOK}} - Facebook & Instagram: [Datenschutzrichtlinie](https://facebook.com/privacy/center/) {{/IF}}
{{#IF HAS_YOUTUBE}} - YouTube: [Datenschutzerklaerung](https://policies.google.com/privacy?hl=de) {{/IF}}
{{#IF HAS_LINKEDIN}} - LinkedIn: [Datenschutzrichtlinie](https://www.linkedin.com/legal/privacy-policy) {{/IF}}
---
{{#IF HAS_META_PIXEL}}
## 5a. Meta Pixel (Konversionsmessung)
Auf unserer Website setzen wir sofern Sie einwilligen das Meta Pixel zur Konversionsmessung ein. Anbieter: Meta Platforms Ireland Limited.
**Zweck:** Nachverfolgung des Nutzerverhaltens nach Klick auf eine Meta-Werbeanzeige, Auswertung der Wirksamkeit fuer statistische und Marktforschungszwecke, Optimierung zukuenftiger Werbemassnahmen.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar.
**Gemeinsame Verantwortlichkeit:** Fuer die Erfassung und Weitergabe der Daten an Meta sind wir und Meta gemeinsam verantwortlich (Art. 26 DSGVO). Die Vereinbarung: [Controller Addendum](https://www.facebook.com/legal/controller_addendum).
**Drittlanduebermittlung:** Meta ist nach dem EU-US Data Privacy Framework (DPF) [zertifiziert](https://dataprivacyframework.gov). Zusaetzlich werden EU-Standardvertragsklauseln eingesetzt.
**Opt-out:** [Einstellungen fuer Werbeanzeigen](https://www.facebook.com/ads/preferences/) (Facebook-Konto erforderlich) oder [youronlinechoices.com](http://www.youronlinechoices.com/de/praferenzmanagement/).
{{/IF}}
---
## 6. Drittlanduebermittlung
Eine Uebermittlung personenbezogener Daten in Laender ausserhalb der EU/des EWR durch uns findet nur statt, soweit dies fuer das Betreiben des Social-Media-Kanals oder die Kommunikation mit Ihnen erforderlich ist. Soweit Plattformbetreiber Daten an Konzerngesellschaften in den USA uebermitteln, stuetzen sich diese auf das EU-US Data Privacy Framework (DPF) und/oder EU-Standardvertragsklauseln.
---
## 7. Speicherdauer
Wir loeschen personenbezogene Daten auf den Social-Media-Plattformen, sobald die Speicherung nicht mehr erforderlich ist. Ausnahmen bestehen bei gesetzlichen Aufbewahrungspflichten oder zur Durchsetzung und Abwehr von Rechtsanspruechen.
Informationen zur Speicherdauer bei den Plattformbetreibern:
{{#IF HAS_FACEBOOK}} - Facebook & Instagram: [Datenschutzrichtlinie](https://facebook.com/privacy/center/) {{/IF}}
{{#IF HAS_YOUTUBE}} - YouTube: [Datenschutzerklaerung](https://policies.google.com/privacy?hl=de) {{/IF}}
---
## 8. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Datenuebertragbarkeit (Art. 20) und das Recht, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO).
**Sie koennen Ihre Rechte sowohl gegenueber uns als auch gegenueber dem jeweiligen Plattformbetreiber geltend machen.**
Soweit Sie Ihre Rechte uns gegenueber geltend machen, leiten wir Ihre Anfrage an den betreffenden Plattformbetreiber weiter.
### Widerspruchsrecht
**Sie haben das Recht, aus Gruenden Ihrer besonderen Situation jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einzulegen (Art. 21 DSGVO).**
### Beschwerderecht
Sie haben das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehoerde (Art. 77 DSGVO):
**{{SUPERVISORY_AUTHORITY_NAME}}**
{{SUPERVISORY_AUTHORITY_ADDRESS}}
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
'["COMPANY_LEGAL_NAME","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","CONTACT_PHONE","WEBSITE_URL","DPO_EMAIL","VERSION_DATE","SUPERVISORY_AUTHORITY_NAME","SUPERVISORY_AUTHORITY_ADDRESS","SOCIAL_MEDIA_PLATFORMS_LIST"]'::jsonb,
'de', 'DE',
'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published',
NOW(), NOW()
WHERE NOT EXISTS (
SELECT 1 FROM compliance_legal_templates
WHERE document_type = 'social_media_dsi'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
);
backend-compliance/migrations/097_cookie_policy_v2.sql
+128
View File
@@ -0,0 +1,128 @@
-- Migration 097: Cookie-Richtlinie v2
-- Ausfuehrliches Erklaerungsdokument zu Cookies, Skripten, Web-Beacons
-- TDDDG § 25, DSGVO Art. 6, Consent-Banner, Browser-Verwaltung
UPDATE compliance_legal_templates
SET
title = 'Cookie-Richtlinie (TDDDG § 25 / DSGVO)',
description = 'Ausfuehrliche Cookie-Richtlinie mit Erklaerung der Technologien (Cookies, Skripte, Web-Beacons), Rechtsgrundlagen (TDDDG § 25, Art. 6 DSGVO), Consent-Banner-Verweis, Widerrufsrecht und Browser-Verwaltungslinks.',
content = $template$# Cookie-Richtlinie
**{{COMPANY_LEGAL_NAME}}**
Stand: {{VERSION_DATE}}
---
## 1. Verantwortlicher
{{COMPANY_LEGAL_NAME}}, {{COMPANY_ADDRESS_FULL}}, ist fuer die in dieser Cookie-Richtlinie beschriebene Verarbeitung personenbezogener Daten gemaess Art. 4 Nr. 7 DSGVO verantwortlich.
Kontakt: {{CONTACT_EMAIL}}
{{#IF DPO_NAME}}Datenschutzbeauftragter: {{DPO_NAME}} {{DPO_EMAIL}}{{/IF}}
---
## 2. Was sind Cookies und andere Technologien?
Beim Betrieb von Webseiten und Apps kommen Technologien zum Einsatz, die personenbezogene Daten verarbeiten koennen:
- **Cookies** sind kleine Textdateien, die vom Webbrowser auf Ihrem Endgeraet hinterlegt werden. Sie ermoeglichen es, Informationen zwischen Seitenaufrufen zu speichern und Sie bei einem erneuten Besuch wiederzuerkennen.
- **Skripte** sind Programmcode-Fragmente, die auf unseren Servern oder auf Ihrem Endgeraet ausgefuehrt werden und der Website Funktionalitaet und Interaktivitaet ermoeglichen.
- **Web-Beacons** (auch Pixel-Tags) sind kleine, unsichtbare Elemente auf einer Website, die zur Ueberwachung des Nutzerverhaltens eingesetzt werden.
Cookies koennen keine Programme ausfuehren und keine Viren auf Ihr Endgeraet uebertragen.
---
## 3. Wozu werden diese Technologien eingesetzt?
Durch Cookies und vergleichbare Technologien koennen Informationen auf Ihrem Endgeraet gespeichert und abgerufen werden. Anhand eindeutiger Kennungen (z.B. IP-Adresse, Geraete-ID) ist eine Zuordnung zu Ihnen moeglich.
Wir unterscheiden folgende Kategorien:
| Kategorie | Zweck | Einwilligung erforderlich |
|-----------|-------|:---:|
| **Technisch notwendig** | Grundfunktionen, Sicherheit, Spracheinstellungen, Warenkorb | Nein |
| **Funktional** | Komfortfunktionen, Personalisierung, Praeferenzen | Ja |
| **Analyse/Statistik** | Reichweitenmessung, Nutzungsanalyse, Optimierung | Ja |
| **Marketing/Tracking** | Werbemessung, Remarketing, Profiling | Ja |
Welche Technologie welchen Zweck verfolgt, entnehmen Sie bitte unserem Consent-Banner.
{{COOKIE_TABLE}}
---
## 4. Rechtsgrundlagen
### Technisch notwendige Cookies
Der Einsatz technisch notwendiger Cookies erfolgt auf Grundlage von § 25 Abs. 2 TDDDG (unbedingt erforderlich fuer den vom Nutzer ausdruecklich gewuenschten Dienst) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stoerungsfreien Betrieb).
### Einwilligungspflichtige Cookies und Dienste
Fuer alle uebrigen Technologien (funktional, Analyse, Marketing) ist Ihre Einwilligung erforderlich. Rechtsgrundlage: § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.
Die Einwilligung wird ueber unser Consent-Banner eingeholt, das beim ersten Besuch der Website automatisch erscheint. Sie haben folgende Optionen:
- **Alle akzeptieren** Einwilligung in alle Kategorien
- **Auswahl erlauben** individuelle Auswahl pro Kategorie
- **Nur essenzielle** nur technisch notwendige Cookies
---
## 5. Consent-Banner und Widerruf
Sie koennen Ihre Einwilligung jederzeit unentgeltlich und mit Wirkung fuer die Zukunft widerrufen, indem Sie das Consent-Banner erneut aufrufen und Ihre Einstellungen aendern.
**So rufen Sie das Consent-Banner auf:** {{CONSENT_WITHDRAWAL_PATH}}
Die Entscheidung ueber die Verwendung von Technologien wird in einem eigenen Cookie gespeichert. Wird dieses Cookie geloescht, oeffnet sich das Banner beim naechsten Besuch erneut.
Durch den Widerruf der Einwilligung wird die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung nicht beruehrt. Nach erfolgtem Widerruf koennen einzelne Funktionen eingeschraenkt sein.
---
## 6. Drittanbieter und Drittlanduebermittlung
Durch die Einbindung von Drittanbieterdiensten koennen Server ausserhalb der EU/des EWR aufgerufen werden.
{{#IF HAS_THIRD_COUNTRY}}
Fuer Uebermittlungen in die USA achten wir darauf, dass sich Drittanbieter nach dem EU-US Data Privacy Framework (DPF) zertifiziert haben. In allen anderen Faellen stellen wir sicher, dass ein angemessenes Datenschutzniveau durch Angemessenheitsbeschluss der EU-Kommission oder andere geeignete Garantien (z.B. EU-Standardvertragsklauseln) besteht.
{{/IF}}
---
## 7. Cookies in Ihrem Browser verwalten
Sie koennen Cookies auch ueber die Einstellungen Ihres Browsers verwalten:
- [Chrome](https://support.google.com/accounts/answer/61416?hl=de)
- [Firefox](https://support.mozilla.org/de/kb/cookies-erlauben-und-ablehnen)
- [Safari](https://support.apple.com/de-de/guide/safari/manage-cookies-and-website-data-sfri11471/mac)
- [Edge](https://support.microsoft.com/de-de/help/17442/windows-internet-explorer-delete-manage-cookies)
- [Opera](https://help.opera.com/de/latest/web-preferences/)
Auf mobilen Endgeraeten koennen Sie Tracking ueber die Geraeteeinstellungen (z.B. Werbe-ID) beschraenken.
---
## 8. Loeschung von Cookies
Session-Cookies werden automatisch geloescht, wenn Sie den Browser schliessen oder sich ausloggen. Persistente Cookies loeschen sich nach Ablauf ihrer definierten Lebensdauer. Sie koennen alle Cookies jederzeit manuell ueber Ihre Browser-Einstellungen loeschen.
---
## 9. Weitere Informationen
Alle Informationen zur Verarbeitung Ihrer personenbezogenen Daten, zu Ihren Betroffenenrechten und zum Verantwortlichen finden Sie in unserer {{DSI_TITLE}}: {{PRIVACY_POLICY_URL}}
---
*Erstellt mit BreakPilot Compliance {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
version = '2.0.0',
updated_at = NOW()
WHERE document_type = 'cookie_policy'
AND language = 'de'
AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';