feat: Phase 1 — Whistleblower + Cookie/Impressum + HR-DSI templates

Phase 1 of the Document Templates Masterplan:

- 098: Whistleblower-Richtlinie (HinSchG) — 10 sections, anonymous
  reporting, 7-day confirmation, 3-month feedback, reprisal protection
- 099: Cookie-Banner + Impressum updates — OS-Plattform discontinued
  note (July 2025), description updates
- 100: Applicant DSI + Employee DSI — two new HR privacy notices with
  § 26 BDSG, 6-month retention (applicants), modular blocks for video
  interviews, talent pool, IT monitoring, company vehicles, works council

Generator: 25 new fields (whistleblower, applicant, employee categories)
Categories: whistleblower, hr_dsi added to document generator

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

admin-compliance/app/sdk/document-generator/_constants.ts

@@ -26,6 +26,8 @@ export const CATEGORIES: { key: string; label: string; types: string[] | null }[
   { key: 'tom', label: 'TOM', types: ['tom_documentation'] },
   { key: 'media', label: 'Medien/Content', types: ['media_content_policy'] },
   { key: 'social_media', label: 'Social Media DSI', types: ['social_media_dsi'] },
+  { key: 'whistleblower', label: 'Whistleblower', types: ['whistleblower_policy'] },
+  { key: 'hr_dsi', label: 'HR-Datenschutz', types: ['applicant_dsi', 'employee_dsi'] },
   { key: 'module_docs', label: 'Konzepte', types: ['vvt_register', 'loeschkonzept', 'pflichtenregister', 'it_security_concept', 'data_protection_concept', 'backup_recovery_concept', 'logging_concept', 'incident_response_plan', 'access_control_concept', 'risk_management_concept'] },
 ]
 
@@ -295,6 +297,31 @@ export const SECTION_FIELDS: Record<keyof TemplateContext, FieldDef[]> = {
     { key: 'HAS_E2E_ENCRYPTION', label: 'Ende-zu-Ende-Verschlüsselung (Messaging)', type: 'boolean' },
     { key: 'DETAILED_RIGHTS', label: 'Ausführliche Rechte-Beschreibung', type: 'boolean' },
     { key: 'PROCESSOR_LIST_URL', label: 'URL Auftragsverarbeiter-Liste' },
+    // ── Whistleblower ───────────────────────────────────────────────────────
+    { key: 'WHISTLEBLOWER_CONTACT_NAME', label: 'Meldestelle: Ansprechperson' },
+    { key: 'WHISTLEBLOWER_CONTACT_ROLE', label: 'Meldestelle: Funktion/Rolle' },
+    { key: 'WHISTLEBLOWER_EMAIL', label: 'Meldestelle: E-Mail', type: 'email' },
+    { key: 'WHISTLEBLOWER_PHONE', label: 'Meldestelle: Telefon' },
+    { key: 'WHISTLEBLOWER_URL', label: 'Meldestelle: Online-Formular URL' },
+    { key: 'HAS_ANONYMOUS_REPORTING', label: 'Anonyme Meldungen möglich', type: 'boolean' },
+    { key: 'HAS_EXTERNAL_REPORTING', label: 'Externe Meldestelle (BfJ) erwähnen', type: 'boolean' },
+    // ── Bewerber-DSI ────────────────────────────────────────────────────────
+    { key: 'HAS_VIDEO_INTERVIEW', label: 'Video-Interviews', type: 'boolean' },
+    { key: 'HAS_ASSESSMENT', label: 'Assessment-Center/Tests', type: 'boolean' },
+    { key: 'HAS_TALENT_POOL', label: 'Talentpool (Einwilligung)', type: 'boolean' },
+    { key: 'TALENT_POOL_MONTHS', label: 'Talentpool Aufbewahrung (Monate)', type: 'select', opts: ['6', '12', '24'] },
+    { key: 'HAS_RECRUITING_AGENCY', label: 'Personalvermittler', type: 'boolean' },
+    { key: 'HAS_RECRUITING_SOFTWARE', label: 'Bewerbermanagement-Software', type: 'boolean' },
+    { key: 'HAS_EMPLOYEE_REFERRAL', label: 'Mitarbeiterempfehlungen', type: 'boolean' },
+    // ── Mitarbeiter-DSI ─────────────────────────────────────────────────────
+    { key: 'HAS_IT_USAGE_MONITORING', label: 'IT-Nutzungsüberwachung', type: 'boolean' },
+    { key: 'HAS_COMPANY_VEHICLE', label: 'Dienstfahrzeuge/Fuhrpark', type: 'boolean' },
+    { key: 'HAS_ACCESS_CONTROL', label: 'Zutrittskontrolle (Chipkarte)', type: 'boolean' },
+    { key: 'HAS_VIDEO_SURVEILLANCE', label: 'Videoüberwachung (Arbeitsplatz)', type: 'boolean' },
+    { key: 'HAS_COMPANY_PENSION', label: 'Betriebliche Altersvorsorge', type: 'boolean' },
+    { key: 'HAS_EXTERNAL_HR_SOFTWARE', label: 'Externe HR-Software', type: 'boolean' },
+    { key: 'HAS_WORKS_COUNCIL', label: 'Betriebsrat vorhanden', type: 'boolean' },
+    { key: 'HAS_SPECIAL_CATEGORIES_EMPLOYEES', label: 'Besondere Datenkategorien (Gesundheit, Religion)', type: 'boolean' },
   ],
 }
 

backend-compliance/migrations/098_whistleblower_policy.sql

@@ -0,0 +1,198 @@
+-- Migration 098: Whistleblower-Richtlinie (HinSchG)
+-- Neues Template fuer das /sdk/whistleblower Modul
+-- Pflicht ab 50 MA (seit Dez 2023), anonyme Meldungen ab 2025
+
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'whistleblower_policy',
+    'Hinweisgeberrichtlinie (HinSchG)',
+    'Interne Richtlinie zum Hinweisgeberschutz gemaess Hinweisgeberschutzgesetz (HinSchG). Meldestelle, Verfahren, Vertraulichkeit, Schutz vor Repressalien, Fristen. Pflicht ab 50 Mitarbeitende.',
+    $template$# Hinweisgeberrichtlinie
+
+Interne Richtlinie zum Schutz hinweisgebender Personen gemaess Hinweisgeberschutzgesetz (HinSchG)
+
+**{{COMPANY_LEGAL_NAME}}**
+Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Zweck und Geltungsbereich
+
+(1) Diese Richtlinie regelt das Verfahren zur Meldung von Verstoessen und den Schutz hinweisgebender Personen bei **{{COMPANY_LEGAL_NAME}}** gemaess dem Hinweisgeberschutzgesetz (HinSchG).
+
+(2) Die Richtlinie gilt fuer alle Beschaeftigten, Leiharbeitnehmer, Praktikanten, Bewerber, ehemalige Beschaeftigte sowie Personen, die im Rahmen ihrer beruflichen Taetigkeit mit {{COMPANY_LEGAL_NAME}} in Kontakt stehen (Lieferanten, Auftragnehmer, Anteilseigner).
+
+(3) Die Richtlinie ergaenzt bestehende Compliance-Regelungen und ersetzt diese nicht.
+
+---
+
+## 2. Sachlicher Anwendungsbereich
+
+(1) Meldungen ueber folgende Verstoesse werden entgegengenommen und bearbeitet:
+
+- Verstoesse gegen Strafvorschriften
+- Verstoesse gegen bussgeldbewehrte Vorschriften (Ordnungswidrigkeiten), soweit die verletzte Vorschrift dem Schutz von Leben, Leib, Gesundheit oder dem Schutz der Rechte von Beschaeftigten oder ihrer Vertretungsorgane dient
+- Verstoesse gegen Rechtsvorschriften des Bundes und der Laender, die zur Umsetzung von EU-Richtlinien erlassen wurden, insbesondere in den Bereichen:
+  - Datenschutz und IT-Sicherheit
+  - Umweltschutz
+  - Verbraucherschutz
+  - Produktsicherheit
+  - Vergaberecht
+  - Geldwaeschebekaempfung
+  - Lebensmittel- und Futtermittelsicherheit
+  - Steuerbetrug
+
+(2) Nicht erfasst sind Meldungen, die ausschliesslich persoenliche Beschwerden oder arbeitsrechtliche Streitigkeiten betreffen, sofern diese keine Verstoesse im Sinne von Absatz 1 darstellen.
+
+---
+
+## 3. Interne Meldestelle
+
+(1) {{COMPANY_LEGAL_NAME}} hat eine interne Meldestelle eingerichtet. Die Meldestelle ist besetzt durch:
+
+**{{WHISTLEBLOWER_CONTACT_NAME}}**
+{{WHISTLEBLOWER_CONTACT_ROLE}}
+E-Mail: {{WHISTLEBLOWER_EMAIL}}
+{{#IF WHISTLEBLOWER_PHONE}}Telefon: {{WHISTLEBLOWER_PHONE}}{{/IF}}
+{{#IF WHISTLEBLOWER_URL}}Online-Meldeformular: {{WHISTLEBLOWER_URL}}{{/IF}}
+
+(2) Die mit den Aufgaben der internen Meldestelle betraute Person ist bei der Ausuebung ihrer Taetigkeit unabhaengig und weisungsfrei. Sie verfuegt ueber die erforderliche Fachkunde.
+
+{{#IF HAS_EXTERNAL_REPORTING}}
+(3) Alternativ oder ergaenzend steht die externe Meldestelle des Bundes beim Bundesamt fuer Justiz (BfJ) zur Verfuegung:
+Bundesamt fuer Justiz
+Adenauerallee 99-103, 53113 Bonn
+https://www.bundesjustizamt.de/DE/MeldestelledesHinweisgeberschutzgesetzes
+
+Hinweisgebende Personen koennen frei waehlen, ob sie sich an die interne oder externe Meldestelle wenden. {{COMPANY_LEGAL_NAME}} ermutigt jedoch, zunaechst die interne Meldestelle zu nutzen, sofern dem Verstoss intern wirksam abgeholfen werden kann.
+{{/IF}}
+
+---
+
+## 4. Meldevorgaenge
+
+### 4.1 Meldewege
+
+(1) Meldungen koennen auf folgenden Wegen abgegeben werden:
+
+- **Schriftlich:** per E-Mail an {{WHISTLEBLOWER_EMAIL}} oder ueber das Meldeformular ({{WHISTLEBLOWER_URL}})
+- **Muendlich:** per Telefon unter {{WHISTLEBLOWER_PHONE}} oder auf Wunsch in einem persoenlichen Gespraech
+{{#IF HAS_ANONYMOUS_REPORTING}}
+- **Anonym:** Anonyme Meldungen werden entgegengenommen und bearbeitet. Die Meldestelle stellt einen anonymen Kommunikationskanal zur Verfuegung, ueber den auch Rueckfragen moeglich sind, ohne die Identitaet preiszugeben.
+{{/IF}}
+
+### 4.2 Inhalt einer Meldung
+
+(2) Eine Meldung sollte nach Moeglichkeit folgende Angaben enthalten:
+
+- Beschreibung des gemeldeten Verstosses
+- Beteiligte Personen (soweit bekannt)
+- Zeitpunkt und Ort des Verstosses
+- Vorhandene Belege oder Beweismittel
+- Angabe, ob die meldende Person bereits anderweitig Meldung erstattet hat
+
+### 4.3 Verfahrensablauf
+
+(3) Die Meldestelle bestaetigt den Eingang der Meldung **innerhalb von 7 Tagen**.
+
+(4) Die Meldestelle prueft die Stichhaltigkeit der Meldung und ergreift angemessene Folgemassnahmen. Dies kann insbesondere umfassen:
+
+- Interne Untersuchungen
+- Weiterleitung an zustaendige interne Stellen (unter Wahrung der Vertraulichkeit)
+- Weiterleitung an zustaendige Behoerden
+- Abschluss des Verfahrens bei fehlender Stichhaltigkeit
+
+(5) Die Meldestelle gibt der hinweisgebenden Person **innerhalb von 3 Monaten** nach Eingangsbestaetigung eine Rueckmeldung ueber die ergriffenen oder geplanten Folgemassnahmen sowie die Gruende hierfuer.
+
+---
+
+## 5. Vertraulichkeit
+
+(1) Die Identitaet der hinweisgebenden Person wird von der Meldestelle vertraulich behandelt. Sie darf ohne deren ausdrueckliche Zustimmung nicht an Dritte weitergegeben werden.
+
+(2) Ausnahmen bestehen nur, wenn die Weitergabe:
+- durch Rechtsvorschrift oder gerichtliche Entscheidung angeordnet ist
+- fuer die Durchfuehrung eines Strafverfahrens zwingend erforderlich ist
+
+(3) In diesen Faellen wird die hinweisgebende Person vorab informiert, sofern dies die Ermittlungen nicht gefaehrdet.
+
+(4) Alle an der Bearbeitung einer Meldung beteiligten Personen sind zur Vertraulichkeit verpflichtet.
+
+---
+
+## 6. Schutz vor Repressalien
+
+(1) Hinweisgebende Personen duerfen wegen einer Meldung keine Repressalien erleiden. Repressalien sind insbesondere:
+
+- Kuendigung oder Suspendierung
+- Herabstufung, Versetzung oder Verweigerung einer Befoerderung
+- Gehaltsminderung oder Entzug von Leistungen
+- Abmahnung, Disziplinarmassnahmen
+- Einschuechterung, Belaestigung, Diskriminierung
+- Schaedigung des Ansehens, insbesondere in sozialen Medien
+- Nichtverlaengerung oder vorzeitige Beendigung eines befristeten Vertrags
+
+(2) Erleidet eine hinweisgebende Person nach einer Meldung eine Benachteiligung, wird vermutet, dass diese Benachteiligung eine Repressalie ist (Beweislastumkehr gemaess § 36 HinSchG).
+
+(3) Personen, die Repressalien gegenueber hinweisgebenden Personen ausueben, koennen disziplinar- und schadensersatzrechtlich zur Verantwortung gezogen werden.
+
+---
+
+## 7. Datenschutz
+
+(1) Die Verarbeitung personenbezogener Daten im Rahmen des Meldeverfahrens erfolgt gemaess den Bestimmungen der DSGVO und des BDSG.
+
+(2) Personenbezogene Daten werden nur erhoben, verarbeitet und gespeichert, soweit dies fuer die Bearbeitung der Meldung und die Durchfuehrung von Folgemassnahmen erforderlich ist.
+
+(3) Die Dokumentation einer Meldung wird **3 Jahre** nach Abschluss des Verfahrens geloescht, sofern keine laengere Aufbewahrung gesetzlich vorgeschrieben oder fuer die Durchsetzung von Rechtsanspruechen erforderlich ist.
+
+(4) Weitere Informationen zur Datenverarbeitung finden sich in der Datenschutzerklaerung unter {{PRIVACY_POLICY_URL}}.
+
+---
+
+## 8. Dokumentation und Berichterstattung
+
+(1) Die Meldestelle dokumentiert alle eingehenden Meldungen unter Wahrung der Vertraulichkeit. Die Dokumentation umfasst:
+
+- Eingangsdatum und Art der Meldung
+- Gegenstand des gemeldeten Verstosses
+- Ergriffene Folgemassnahmen
+- Ergebnis und Abschlussdatum
+
+(2) Die Meldestelle erstellt einen jaehrlichen Bericht ueber die Anzahl der eingegangenen Meldungen, die Art der gemeldeten Verstoesse und die ergriffenen Massnahmen. Dieser Bericht enthaelt keine Angaben, die Rueckschluesse auf die Identitaet von Hinweisgebern oder beschuldigten Personen ermoeglichen.
+
+---
+
+## 9. Schulung und Information
+
+(1) {{COMPANY_LEGAL_NAME}} informiert alle Beschaeftigten ueber die Existenz und den Zweck dieser Richtlinie sowie ueber die verfuegbaren Meldewege.
+
+(2) Die mit den Aufgaben der Meldestelle betrauten Personen erhalten regelmaessige Schulungen zu den Anforderungen des HinSchG und zum Umgang mit Meldungen.
+
+---
+
+## 10. Inkrafttreten und Aenderungen
+
+Diese Richtlinie tritt am {{EFFECTIVE_DATE}} in Kraft. {{COMPANY_LEGAL_NAME}} behaelt sich vor, diese Richtlinie bei Aenderungen der Rechtslage oder des internen Verfahrens anzupassen.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_LEGAL_NAME","VERSION_DATE","EFFECTIVE_DATE","WHISTLEBLOWER_CONTACT_NAME","WHISTLEBLOWER_CONTACT_ROLE","WHISTLEBLOWER_EMAIL","WHISTLEBLOWER_PHONE","WHISTLEBLOWER_URL","PRIVACY_POLICY_URL"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'whistleblower_policy'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);

backend-compliance/migrations/099_cookie_banner_impressum_v2.sql

@@ -0,0 +1,36 @@
+-- Migration 099: Cookie-Banner + Impressum Updates
+-- Cookie-Banner: Bereits TDDDG-konform (Migration 023), nur Feinschliff
+-- Impressum: OS-Plattform seit Juli 2025 abgeschaltet — Hinweis aktualisieren
+
+-- ===========================================================================
+-- 1. Impressum: Streitbeilegungstext aktualisieren (OS-Plattform abgeschaltet)
+-- ===========================================================================
+
+-- Fuer alle Impressum-Templates den Standard-Streitbeilegungstext setzen,
+-- der die abgeschaltete OS-Plattform nicht mehr erwaehnt
+
+-- Keine strukturellen Aenderungen am Impressum noetig — DDG § 5 bereits korrekt.
+-- Nur der Hinweis: Kunden die noch einen OS-Plattform-Link haben, muessen ihn entfernen.
+
+-- Wir fuegen einen Hinweis als Kommentar in die description ein:
+UPDATE compliance_legal_templates
+SET
+    description = 'Impressum nach § 5 DDG mit optionalen Abschnitten. WICHTIG: Die EU-OS-Plattform wurde am 20.07.2025 abgeschaltet — Links zur OS-Plattform muessen entfernt werden (wettbewerbsrechtliches Risiko). § 36 VSBG Hinweis bleibt erforderlich.',
+    version = '2.1.0',
+    updated_at = NOW()
+WHERE document_type = 'impressum'
+  AND language = 'de'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';
+
+-- ===========================================================================
+-- 2. Cookie-Banner: Version-Bump + Description aktualisieren
+-- ===========================================================================
+
+UPDATE compliance_legal_templates
+SET
+    description = 'Cookie-Banner Texte mit Erst-/Zweitlayer, 4 Kategorien (notwendig/funktional/analyse/marketing), TDDDG § 25 konform. Consent-Protokollierung optional. Drittlanduebermittlungshinweis bei Analytics/Marketing.',
+    version = '2.1.0',
+    updated_at = NOW()
+WHERE document_type = 'cookie_banner'
+  AND language = 'de'
+  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';

backend-compliance/migrations/100_employee_applicant_dsi.sql

@@ -0,0 +1,295 @@
+-- Migration 100: Bewerber-DSI + Mitarbeiter-DSI
+-- Zwei neue Templates fuer den HR-Bereich
+-- Jedes Unternehmen mit Stellenanzeigen oder Mitarbeitern braucht diese
+
+-- ===========================================================================
+-- Template 1: Bewerber-Datenschutzinformation (Art. 13 DSGVO)
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'applicant_dsi',
+    'Datenschutzinformation fuer Bewerber (Art. 13 DSGVO)',
+    'Datenschutzinformation fuer Bewerberinnen und Bewerber gemaess Art. 13 DSGVO. Verarbeitung im Bewerbungsverfahren, Rechtsgrundlagen (§ 26 BDSG / Art. 88 DSGVO), Aufbewahrungsfristen (6 Monate), Betroffenenrechte.',
+    $template$# Datenschutzinformation fuer Bewerberinnen und Bewerber
+
+Informationen gemaess Art. 13 DSGVO ueber die Verarbeitung personenbezogener Daten im Bewerbungsverfahren
+
+**{{COMPANY_LEGAL_NAME}}**
+Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Verantwortlicher
+
+**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
+{{COMPANY_ADDRESS_FULL}}
+E-Mail: {{CONTACT_EMAIL}}
+{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}
+
+{{#IF DPO_NAME}}
+**Datenschutzbeauftragter:** {{DPO_NAME}} — {{DPO_EMAIL}}
+{{/IF}}
+
+---
+
+## 2. Welche Daten verarbeiten wir?
+
+Im Rahmen Ihres Bewerbungsverfahrens verarbeiten wir folgende Kategorien personenbezogener Daten:
+
+| Kategorie | Beispiele |
+|-----------|----------|
+| Stammdaten | Name, Vorname, Anschrift, Geburtsdatum |
+| Kontaktdaten | E-Mail-Adresse, Telefonnummer |
+| Bewerbungsunterlagen | Anschreiben, Lebenslauf, Zeugnisse, Zertifikate, Arbeitsproben |
+| Qualifikationsdaten | Ausbildung, Berufserfahrung, Sprachkenntnisse, Faehigkeiten |
+| Gehaltsvorstellungen | Gewuenschtes Gehalt, fruehester Eintrittstermin |
+{{#IF HAS_VIDEO_INTERVIEW}} | Videointerview-Daten | Videoaufnahme, Audio, Metadaten | {{/IF}}
+{{#IF HAS_ASSESSMENT}} | Assessment-Daten | Testergebnisse, Bewertungen | {{/IF}}
+| Korrespondenzdaten | Inhalt der Kommunikation waehrend des Bewerbungsverfahrens |
+
+{{#IF HAS_SPECIAL_CATEGORIES}}
+**Besondere Kategorien (Art. 9 DSGVO):** Soweit Sie uns im Rahmen Ihrer Bewerbung freiwillig besondere Kategorien personenbezogener Daten mitteilen (z.B. Schwerbehinderung, Gesundheitsdaten), verarbeiten wir diese ausschliesslich auf Grundlage Ihrer ausdruecklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder soweit dies zur Ausuebung oder Erfuellung arbeitsrechtlicher Pflichten erforderlich ist (Art. 9 Abs. 2 lit. b DSGVO).
+{{/IF}}
+
+---
+
+## 3. Zwecke und Rechtsgrundlagen
+
+| Zweck | Rechtsgrundlage |
+|-------|----------------|
+| Durchfuehrung des Bewerbungsverfahrens | § 26 Abs. 1 BDSG i.V.m. Art. 88 DSGVO (Anbahnung eines Beschaeftigungsverhaeltnisses) |
+| Beurteilung der Eignung fuer die ausgeschriebene Stelle | § 26 Abs. 1 BDSG |
+| Kommunikation mit Ihnen waehrend des Verfahrens | Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen) |
+| Aufbewahrung nach Ablehnung (Frist fuer AGG-Ansprueche) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Anspruechen) |
+{{#IF HAS_TALENT_POOL}} | Aufnahme in den Talentpool (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | {{/IF}}
+| Erfuellung gesetzlicher Pflichten (z.B. AGG) | Art. 6 Abs. 1 lit. c DSGVO |
+
+---
+
+## 4. Datenquellen
+
+Wir verarbeiten personenbezogene Daten, die:
+- Sie uns im Rahmen Ihrer Bewerbung uebermitteln
+- Aus oeffentlich zugaenglichen Quellen stammen (z.B. berufliche Netzwerke wie LinkedIn, XING), soweit dies fuer die Beurteilung Ihrer Eignung relevant und zulaessig ist
+{{#IF HAS_RECRUITING_AGENCY}} - Von beauftragten Personalvermittlern an uns uebermittelt werden {{/IF}}
+{{#IF HAS_EMPLOYEE_REFERRAL}} - Im Rahmen von Mitarbeiterempfehlungen an uns gelangen {{/IF}}
+
+---
+
+## 5. Empfaenger
+
+Ihre Bewerbungsdaten werden ausschliesslich den am Bewerbungsverfahren beteiligten Personen zugaenglich gemacht:
+
+- Personalabteilung (HR)
+- Fachvorgesetzte der ausgeschriebenen Stelle
+- Geschaeftsfuehrung (bei Fuehrungspositionen)
+{{#IF HAS_RECRUITING_SOFTWARE}} - Anbieter unserer Bewerbermanagement-Software (Auftragsverarbeiter gemaess Art. 28 DSGVO) {{/IF}}
+{{#IF HAS_RECRUITING_AGENCY}} - Beauftragte Personalvermittler (Auftragsverarbeiter oder eigene Verantwortliche) {{/IF}}
+
+Eine Weitergabe an sonstige Dritte erfolgt nicht.
+
+---
+
+## 6. Speicherdauer
+
+| Szenario | Speicherdauer | Begruendung |
+|----------|:---:|---|
+| Ablehnung | **6 Monate** nach Ende des Verfahrens | Frist fuer AGG-Ansprueche (§ 15 Abs. 4 AGG: 2 Monate + Sicherheitszuschlag) |
+| Einstellung | Uebernahme in die Personalakte | § 26 BDSG |
+{{#IF HAS_TALENT_POOL}} | Talentpool (bei Einwilligung) | Bis zum Widerruf, max. {{TALENT_POOL_MONTHS}} Monate | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}}
+
+Nach Ablauf der Aufbewahrungsfrist werden Ihre Daten vollstaendig geloescht oder vernichtet.
+
+---
+
+## 7. Ihre Rechte
+
+Sie haben folgende Rechte:
+
+- Auskunft (Art. 15 DSGVO)
+- Berichtigung (Art. 16 DSGVO)
+- Loeschung (Art. 17 DSGVO)
+- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
+- Datenuebertragbarkeit (Art. 20 DSGVO)
+- Widerspruch (Art. 21 DSGVO)
+- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
+- Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO): **{{SUPERVISORY_AUTHORITY_NAME}}**
+
+Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
+
+---
+
+## 8. Pflicht zur Bereitstellung
+
+Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die erforderlichen Angaben (insb. Kontaktdaten, Qualifikationsnachweise) kann Ihre Bewerbung jedoch nicht beruecksichtigt werden.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","CONTACT_PHONE","DPO_NAME","DPO_EMAIL","VERSION_DATE","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","TALENT_POOL_MONTHS"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'applicant_dsi'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);
+
+-- ===========================================================================
+-- Template 2: Mitarbeiter-Datenschutzinformation (Art. 13 DSGVO)
+-- ===========================================================================
+INSERT INTO compliance_legal_templates (
+    id, tenant_id, document_type, title, description, content,
+    placeholders, language, jurisdiction,
+    license_id, license_name, source_name,
+    attribution_required, is_complete_document, version, status,
+    created_at, updated_at
+) SELECT
+    gen_random_uuid(),
+    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
+    'employee_dsi',
+    'Datenschutzinformation fuer Beschaeftigte (Art. 13 DSGVO)',
+    'Datenschutzinformation fuer Mitarbeiterinnen und Mitarbeiter gemaess Art. 13 DSGVO. Verarbeitung im Beschaeftigungsverhaeltnis, Rechtsgrundlagen (§ 26 BDSG), Datenkategorien (Personal, Gehaltsabrechnung, Zeiterfassung, IT-Nutzung), Empfaenger, Aufbewahrungsfristen.',
+    $template$# Datenschutzinformation fuer Beschaeftigte
+
+Informationen gemaess Art. 13 DSGVO ueber die Verarbeitung personenbezogener Daten im Beschaeftigungsverhaeltnis
+
+**{{COMPANY_LEGAL_NAME}}**
+Stand: {{VERSION_DATE}}
+
+---
+
+## 1. Verantwortlicher
+
+**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
+{{COMPANY_ADDRESS_FULL}}
+E-Mail: {{CONTACT_EMAIL}}
+
+{{#IF DPO_NAME}}
+**Datenschutzbeauftragter:** {{DPO_NAME}} — {{DPO_EMAIL}}
+{{/IF}}
+
+---
+
+## 2. Welche Daten verarbeiten wir?
+
+Im Rahmen des Beschaeftigungsverhaeltnisses verarbeiten wir folgende Kategorien personenbezogener Daten:
+
+| Kategorie | Beispiele |
+|-----------|----------|
+| Stammdaten | Name, Adresse, Geburtsdatum, Familienstand, Staatsangehoerigkeit |
+| Kontaktdaten | Telefon, E-Mail (privat/dienstlich), Notfallkontakte |
+| Vertragsdaten | Arbeitsvertrag, Position, Abteilung, Eintrittsdatum, Verguetung |
+| Steuer- und Sozialversicherungsdaten | Steuer-ID, SV-Nummer, Steuerklasse, Krankenkasse |
+| Bankdaten | IBAN, BIC (fuer Gehaltsabrechnung) |
+| Zeiterfassungsdaten | Arbeitszeiten, Ueberstunden, Urlaub, Krankheitstage |
+| Qualifikationsdaten | Zeugnisse, Zertifikate, Weiterbildungen |
+{{#IF HAS_IT_USAGE_MONITORING}} | IT-Nutzungsdaten | Anmeldedaten, E-Mail-Nutzung (Metadaten), Internetzugriff (Protokolldaten) | {{/IF}}
+{{#IF HAS_COMPANY_VEHICLE}} | Fahrzeugdaten | Fuhrpark-Zuordnung, Fahrtenbuch, Tankkartendaten | {{/IF}}
+{{#IF HAS_ACCESS_CONTROL}} | Zutrittsdaten | Chipkarten-Protokolle, Zutrittszeiten | {{/IF}}
+{{#IF HAS_VIDEO_SURVEILLANCE}} | Videoueberwachungsdaten | Aufnahmen aus ueberwachten Bereichen | {{/IF}}
+| Leistungsdaten | Beurteilungen, Zielvereinbarungen, Feedbackgespraeche |
+| Disziplinarische Daten | Abmahnungen, Verwarnungen |
+
+{{#IF HAS_SPECIAL_CATEGORIES_EMPLOYEES}}
+**Besondere Kategorien (Art. 9 DSGVO):** Gesundheitsdaten (Arbeitsunfaehigkeitsbescheinigungen, BEM-Verfahren), Schwerbehinderteneigenschaft, Religionszugehoerigkeit (fuer Kirchensteuer). Rechtsgrundlage: § 26 Abs. 3 BDSG.
+{{/IF}}
+
+---
+
+## 3. Zwecke und Rechtsgrundlagen
+
+| Zweck | Rechtsgrundlage |
+|-------|----------------|
+| Begruendung, Durchfuehrung und Beendigung des Beschaeftigungsverhaeltnisses | § 26 Abs. 1 BDSG |
+| Gehaltsabrechnung und Sozialversicherungsmeldungen | Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) |
+| Steuerliche Pflichten (Lohnsteuer) | Art. 6 Abs. 1 lit. c DSGVO |
+| Arbeitszeiterfassung (ArbZG) | Art. 6 Abs. 1 lit. c DSGVO |
+| Betriebliche Altersvorsorge | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
+{{#IF HAS_IT_USAGE_MONITORING}} | IT-Sicherheit und Missbrauchserkennung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | {{/IF}}
+{{#IF HAS_COMPANY_VEHICLE}} | Fuhrparkverwaltung und Fahrtenbuch | Art. 6 Abs. 1 lit. c/f DSGVO | {{/IF}}
+| Weiterbildung und Personalentwicklung | Art. 6 Abs. 1 lit. b/f DSGVO |
+| Arbeitssicherheit und Gesundheitsschutz | Art. 6 Abs. 1 lit. c DSGVO (ArbSchG) |
+| Betriebliches Eingliederungsmanagement (BEM) | § 167 Abs. 2 SGB IX |
+
+---
+
+## 4. Empfaenger
+
+| Empfaenger | Zweck | Rolle |
+|-----------|-------|------|
+| Personalabteilung (HR) | Personalverwaltung | Intern |
+| Vorgesetzte/Fachabteilung | Arbeitsorganisation | Intern |
+| Gehaltsabrechnungsdienstleister | Lohn-/Gehaltsabrechnung | Auftragsverarbeiter |
+| Finanzamt | Lohnsteuer | Gesetzliche Pflicht |
+| Sozialversicherungstraeger | SV-Meldungen | Gesetzliche Pflicht |
+| Krankenkasse | Krankmeldungen | Gesetzliche Pflicht |
+| Berufsgenossenschaft | Unfallversicherung | Gesetzliche Pflicht |
+{{#IF HAS_COMPANY_PENSION}} | Pensionskasse/Versorgungswerk | Betriebliche Altersvorsorge | Vertrag | {{/IF}}
+{{#IF HAS_EXTERNAL_HR_SOFTWARE}} | HR-Software-Anbieter | Personalverwaltung | Auftragsverarbeiter | {{/IF}}
+
+---
+
+## 5. Speicherdauer
+
+| Datenkategorie | Speicherdauer | Rechtsgrundlage |
+|---------------|:---:|---|
+| Personalakte (allgemein) | 3 Jahre nach Austritt | § 195 BGB (Verjaehrung) |
+| Lohn-/Gehaltsunterlagen | 6 Jahre | § 257 HGB |
+| Steuerunterlagen | 10 Jahre | § 147 AO |
+| Sozialversicherungsnachweise | 5 Jahre | §§ 28f, 110 SGB IV |
+| Zeugnisse (Erstellung) | Bis 3 Jahre nach Austritt | § 195 BGB |
+| BEM-Dokumentation | 3 Jahre nach Abschluss | § 195 BGB |
+{{#IF HAS_IT_USAGE_MONITORING}} | IT-Protokolldaten | {{LOG_RETENTION_DAYS}} Tage | Berechtigtes Interesse | {{/IF}}
+{{#IF HAS_VIDEO_SURVEILLANCE}} | Videoueberwachungsdaten | Max. 72 Stunden | Berechtigtes Interesse | {{/IF}}
+
+---
+
+## 6. Ihre Rechte
+
+Sie haben folgende Rechte:
+
+- Auskunft (Art. 15 DSGVO)
+- Berichtigung (Art. 16 DSGVO)
+- Loeschung (Art. 17 DSGVO)
+- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
+- Datenuebertragbarkeit (Art. 20 DSGVO)
+- Widerspruch (Art. 21 DSGVO)
+- Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO): **{{SUPERVISORY_AUTHORITY_NAME}}**
+
+Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}
+
+{{#IF HAS_WORKS_COUNCIL}}
+**Hinweis:** Bei Fragen zum Beschaeftigtendatenschutz koennen Sie sich auch an den Betriebsrat wenden.
+{{/IF}}
+
+---
+
+## 7. Pflicht zur Bereitstellung
+
+Die Bereitstellung der fuer die Begruendung und Durchfuehrung des Beschaeftigungsverhaeltnisses sowie zur Erfuellung gesetzlicher Pflichten erforderlichen Daten ist notwendig. Ohne diese Daten kann das Beschaeftigungsverhaeltnis nicht begruendet oder durchgefuehrt werden.
+
+---
+
+*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
+$template$,
+    '["COMPANY_LEGAL_NAME","COMPANY_LEGAL_FORM","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","DATA_SUBJECT_REQUEST_CHANNEL","SUPERVISORY_AUTHORITY_NAME","LOG_RETENTION_DAYS"]'::jsonb,
+    'de', 'DE',
+    'mit', 'MIT License', 'BreakPilot Compliance',
+    false, true, '1.0.0', 'published',
+    NOW(), NOW()
+WHERE NOT EXISTS (
+    SELECT 1 FROM compliance_legal_templates
+    WHERE document_type = 'employee_dsi'
+    AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'
+);