-- Migration 104: Spezial-Templates — Phase 5
-- 5 neue Templates: KI-Nutzungsrichtlinie, BYOD, ISMS-Leitfaden,
--   Consent-Texte (Double-Opt-In), Videokonferenz-DSI

-- ===========================================================================
-- Template 1: KI-Nutzungsrichtlinie (AI Act + interne Governance)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'ai_usage_policy',
    'KI-Nutzungsrichtlinie (AI Act / interne Governance)',
    'Interne Richtlinie fuer den Einsatz von KI-Systemen (ChatGPT, Copilot, etc.). AI Act Schulungspflicht (Art. 4, seit Feb 2025), erlaubte/verbotene Nutzung, Datenschutz, Qualitaetspruefung, Kennzeichnungspflicht.',
    $template$# KI-Nutzungsrichtlinie

Interne Richtlinie fuer den Einsatz von Systemen der kuenstlichen Intelligenz

**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}

---

## 1. Zweck und Geltungsbereich

(1) Diese Richtlinie regelt den Einsatz von KI-Systemen bei {{COMPANY_NAME}}. Sie gilt fuer alle Beschaeftigten, Auftragnehmer und Dienstleister, die im Rahmen ihrer Taetigkeit KI-Werkzeuge nutzen.

(2) Als KI-Systeme gelten insbesondere: Generative KI (ChatGPT, Claude, Gemini, Copilot), Bild-/Video-Generatoren (DALL-E, Midjourney), Code-Assistenten (GitHub Copilot), Uebersetzungstools und sonstige automatisierte Entscheidungssysteme.

---

## 2. Rechtsrahmen

| Vorschrift | Relevanz |
|-----------|----------|
| **AI Act (EU) 2024/1689** | Risikoklassifizierung, Verbote, Transparenz, Schulungspflicht (Art. 4) |
| **DSGVO** | Verarbeitung personenbezogener Daten durch KI |
| **UrhG** | Urheberrecht an KI-generierten Inhalten |
| **GeschGehG** | Schutz von Geschaeftsgeheimnissen |

**Schulungspflicht (Art. 4 AI Act):** Seit Februar 2025 muessen alle Personen, die KI-Systeme einsetzen, ueber ausreichende KI-Kompetenz verfuegen. {{COMPANY_NAME}} stellt die erforderlichen Schulungen bereit.

---

## 3. Freigegebene KI-Systeme

{{#IF HAS_APPROVED_AI_LIST}}
Folgende KI-Systeme sind fuer die dienstliche Nutzung freigegeben:

{{APPROVED_AI_SYSTEMS}}

Die Nutzung nicht freigegebener KI-Systeme fuer dienstliche Zwecke ist untersagt. Vorschlaege zur Freigabe weiterer Systeme koennen beim ISB eingereicht werden.
{{/IF}}
{{#IF_NOT HAS_APPROVED_AI_LIST}}
Die Nutzung von KI-Systemen fuer dienstliche Zwecke bedarf der vorherigen Freigabe durch den ISB. Ohne Freigabe duerfen keine KI-Systeme fuer die Verarbeitung dienstlicher Daten eingesetzt werden.
{{/IF_NOT}}

---

## 4. Verbotene Eingaben

Folgende Daten duerfen **niemals** in externe KI-Systeme eingegeben werden:

- **Personenbezogene Daten** (Namen, Adressen, E-Mail-Adressen von Kunden, Mitarbeitenden oder Dritten)
- **Geschaeftsgeheimnisse** (Strategien, Finanzdaten, unveroeffenlichte Produkte, Quellcode)
- **Vertrauliche Kundendaten** (Vertraege, Angebote, Korrespondenz)
- **Passwoerter, Zugangsdaten, API-Keys**
- **Gesundheitsdaten, Bewerberdaten, Personaldaten**

**Faustregel:** Wenn Sie die Information nicht an eine fremde Person per E-Mail senden wuerden, geben Sie sie nicht in ein KI-System ein.

---

## 5. Erlaubte Nutzung

KI-Systeme duerfen fuer folgende Zwecke eingesetzt werden:

- Formulierungshilfe fuer allgemeine Texte (ohne vertrauliche Inhalte)
- Recherche und Zusammenfassung oeffentlich verfuegbarer Informationen
- Ideengenerierung und Brainstorming
- Code-Unterstuetzung (ohne proprietaeren Quellcode)
- Uebersetzung nicht-vertraulicher Texte

---

## 6. Qualitaetspruefung (Human-in-the-Loop)

(1) **Alle KI-generierten Inhalte muessen vor der Verwendung durch einen Menschen geprueft werden.** KI-Ausgaben koennen fehlerhaft, veraltet oder voreingenommen sein.

(2) Insbesondere ist zu pruefen:
- Sachliche Richtigkeit (Faktencheck)
- Vollstaendigkeit
- Urheberrechtliche Unbedenklichkeit
- Diskriminierungsfreiheit

(3) KI-generierte Inhalte duerfen nicht als eigene Leistung ausgegeben werden, wenn dies taeuschend waere.

---

## 7. Kennzeichnungspflicht

{{#IF HAS_AI_LABELING_INTERNAL}}
(1) Intern: KI-unterstuetzte Dokumente, Praesentationen und Analysen sind als solche zu kennzeichnen (z.B. Fussnote "Mit KI-Unterstuetzung erstellt").

(2) Extern: KI-generierte Inhalte, die veroeffentlicht oder an Kunden uebermittelt werden, unterliegen der Kennzeichnungspflicht nach Art. 50 AI Act (ab August 2026). Bis dahin empfiehlt {{COMPANY_NAME}} eine freiwillige Kennzeichnung.
{{/IF}}

---

## 8. Datenschutz

(1) Die Nutzung von KI-Systemen, die personenbezogene Daten verarbeiten, erfordert eine Datenschutz-Folgenabschaetzung (Art. 35 DSGVO), sofern ein hohes Risiko fuer die Rechte und Freiheiten betroffener Personen besteht.

(2) Bei der Nutzung externer KI-Dienste ist zu pruefen, ob ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) erforderlich ist und ob Daten in Drittlaender uebermittelt werden.

(3) KI-Systeme, die automatisierte Einzelentscheidungen treffen (Art. 22 DSGVO), beduerfen besonderer Pruefung und Dokumentation.

---

## 9. Urheberrecht

(1) KI-generierte Inhalte geniessen nach aktueller Rechtslage in der Regel keinen urheberrechtlichen Schutz (kein menschlicher Schoepfer).

(2) Bei der Eingabe von Inhalten in KI-Systeme ist sicherzustellen, dass keine Urheberrechte Dritter verletzt werden.

(3) Der TDM-Opt-out (Art. 4 Richtlinie (EU) 2019/790) ist fuer Inhalte von {{COMPANY_NAME}} aktiviert — unsere Inhalte duerfen nicht fuer KI-Training verwendet werden.

---

## 10. Verstoesse

Verstoesse gegen diese Richtlinie koennen arbeitsrechtliche Konsequenzen nach sich ziehen. Bei Verdacht auf einen Verstoss ist der ISB unverzueglich zu informieren.

---

## 11. Revision

Diese Richtlinie wird aufgrund der dynamischen Entwicklung im KI-Bereich **halbjaehrlich** ueberprueft. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.

*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","APPROVED_AI_SYSTEMS"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'ai_usage_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');

-- ===========================================================================
-- Template 2: BYOD-Richtlinie
-- ===========================================================================
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'byod_policy',
    'BYOD-Richtlinie (Bring Your Own Device)',
    'Richtlinie fuer die Nutzung privater Endgeraete im Unternehmenskontext. DSGVO-konform, Container-Loesung, Remote-Loeschung, On-/Offboarding, DSFA-Hinweis.',
    $template$# BYOD-Richtlinie (Bring Your Own Device)

**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}

---

## 1. Zweck und Geltungsbereich

Diese Richtlinie regelt die Nutzung privater Endgeraete (Smartphones, Tablets, Laptops) fuer dienstliche Zwecke bei {{COMPANY_NAME}} (Bring Your Own Device — BYOD).

Sie gilt fuer alle Beschaeftigten, die private Geraete fuer den Zugriff auf Unternehmensdaten, E-Mail, Kalender oder interne Systeme nutzen moechten.

---

## 2. Teilnahme und Freigabe

(1) Die Teilnahme am BYOD-Programm ist **freiwillig**. Es besteht kein Anspruch auf Nutzung privater Geraete.

(2) Die Teilnahme setzt voraus:
- Schriftliche Vereinbarung zwischen Mitarbeitendem und {{COMPANY_NAME}}
- Installation der vorgeschriebenen Sicherheitssoftware (MDM/Container)
- Teilnahme an der BYOD-Sicherheitsschulung

(3) {{COMPANY_NAME}} behaelt sich vor, die BYOD-Berechtigung jederzeit zu widerrufen.

---

## 3. Technische Anforderungen

### 3.1 Mindestanforderungen

| Anforderung | Beschreibung |
|-------------|-------------|
| Betriebssystem | Aktuelle oder vorletzte Version (iOS/Android/Windows/macOS) |
| Sicherheitsupdates | Automatische Installation aktiviert |
| Bildschirmsperre | PIN (mind. 6 Zeichen) oder biometrisch |
| Verschluesselung | Geraeteverschluesselung aktiviert |
| Jailbreak/Root | **Verboten** — gerootete/gejailbreakte Geraete sind ausgeschlossen |

### 3.2 Container-Loesung

Unternehmensdaten werden in einem verschluesselten Container auf dem Geraet gespeichert. Der Container ist vom privaten Bereich des Geraets getrennt. {{COMPANY_NAME}} hat **keinen Zugriff** auf private Daten, Apps oder Inhalte ausserhalb des Containers.

---

## 4. Datenschutz und Datentrennung

(1) **Strikte Trennung:** Unternehmensdaten und private Daten werden technisch getrennt (Container). Ein Zugriff privater Apps auf Unternehmensdaten ist nicht moeglich.

(2) **Kein Zugriff auf Privatdaten:** {{COMPANY_NAME}} greift nicht auf private Daten, Fotos, Nachrichten, Standortdaten oder Apps zu. Die MDM-Loesung verwaltet ausschliesslich den Unternehmens-Container.

(3) **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Unternehmensdaten), abgestuetzt durch die freiwillige BYOD-Vereinbarung.

(4) **DSFA:** Eine Datenschutz-Folgenabschaetzung wurde fuer das BYOD-Programm durchgefuehrt.

---

## 5. Remote-Loeschung

(1) {{COMPANY_NAME}} kann den Unternehmens-Container im Verlust- oder Diebstahlfall **fernloeschen** (Selective Wipe). Private Daten werden dabei **nicht** geloescht.

(2) Der Mitarbeitende ist verpflichtet, den Verlust oder Diebstahl eines BYOD-Geraets **unverzueglich** dem IT-Support zu melden.

---

## 6. Offboarding

Bei Beendigung des Beschaeftigungsverhaeltnisses:
- Unternehmens-Container wird geloescht
- MDM-Profil wird entfernt
- Alle Unternehmensdaten werden vom Geraet entfernt
- Private Daten bleiben unberuehrt

---

## 7. Pflichten der Mitarbeitenden

- Sicherheitsupdates zeitnah installieren
- Geraet nicht an Dritte weitergeben (mit aktivem Container)
- Verlust oder Diebstahl unverzueglich melden
- Keine Unternehmensdaten ausserhalb des Containers speichern
- Keine Screenshots von vertraulichen Unternehmensdaten

---

## 8. Kosten

{{#IF BYOD_COST_SHARING}}
{{COMPANY_NAME}} beteiligt sich an den Kosten fuer die dienstliche Nutzung des privaten Geraets: {{BYOD_COST_DETAILS}}
{{/IF}}
{{#IF_NOT BYOD_COST_SHARING}}
Die Kosten fuer das private Geraet und den Mobilfunkvertrag traegt der Mitarbeitende. {{COMPANY_NAME}} stellt die erforderliche Sicherheitssoftware kostenlos bereit.
{{/IF_NOT}}

---

## 9. Revision

Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.

*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","BYOD_COST_DETAILS"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'byod_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');

-- ===========================================================================
-- Template 3: Consent-Texte (Double-Opt-In fuer E-Mail-Marketing)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'consent_texts',
    'Einwilligungstexte (Double-Opt-In, Newsletter, Marketing)',
    'Sammlung von Einwilligungstexten fuer Newsletter, E-Mail-Marketing, Tracking und Profiling. DSGVO Art. 6 Abs. 1 lit. a, Art. 7, UWG § 7 Abs. 2 Nr. 3. Mit Double-Opt-In Bestaetigungsmail.',
    $template$# Einwilligungstexte

Vorlagen fuer DSGVO-konforme Einwilligungserklaerungen

**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}

---

## 1. Newsletter-Anmeldung (Checkbox-Text)

> Ich moechte den Newsletter von {{COMPANY_NAME}} erhalten und willige in die Verarbeitung meiner E-Mail-Adresse zum Versand des Newsletters ein. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen, z.B. ueber den Abmeldelink in jeder E-Mail. Datenschutzinformation: {{PRIVACY_POLICY_URL}}

---

## 2. Double-Opt-In Bestaetigungsmail

**Betreff:** Bitte bestaetigen Sie Ihre Newsletter-Anmeldung

**Text:**

> Vielen Dank fuer Ihr Interesse am Newsletter von {{COMPANY_NAME}}.
>
> Bitte bestaetigen Sie Ihre Anmeldung durch Klick auf den folgenden Link:
>
> [Anmeldung bestaetigen]
>
> Falls Sie diese Anmeldung nicht angefordert haben, ignorieren Sie bitte diese E-Mail. Ihre E-Mail-Adresse wird dann nicht gespeichert.
>
> Mit freundlichen Gruessen
> {{COMPANY_NAME}}

---

## 3. Marketing-Einwilligung (erweitert)

> Ich willige ein, dass {{COMPANY_NAME}} meine E-Mail-Adresse nutzt, um mir Informationen zu Produkten, Angeboten und Neuigkeiten per E-Mail zuzusenden. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen. Datenschutzinformation: {{PRIVACY_POLICY_URL}}

---

{{#IF HAS_TRACKING_CONSENT}}
## 4. Tracking in E-Mails (Oeffnungs-/Klicktracking)

> Ich willige ein, dass {{COMPANY_NAME}} mein Oeffnungs- und Klickverhalten in E-Mails analysiert, um die Inhalte an meine Interessen anzupassen. Die Analyse erfolgt ueber eingebettete Tracking-Pixel und Link-Weiterleitungen. Ich kann diese Einwilligung jederzeit widerrufen.
{{/IF}}

---

{{#IF HAS_PROFILING_CONSENT}}
## 5. Profiling/Personalisierung

> Ich willige ein, dass {{COMPANY_NAME}} mein Nutzungsverhalten auf {{PLATFORM_NAME}} analysiert, um mir personalisierte Inhalte und Empfehlungen anzuzeigen. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung statt (Art. 22 DSGVO). Ich kann diese Einwilligung jederzeit widerrufen.
{{/IF}}

---

## 6. Abmeldebestaetigung

**Betreff:** Ihre Newsletter-Abmeldung

**Text:**

> Sie wurden erfolgreich vom Newsletter von {{COMPANY_NAME}} abgemeldet.
>
> Ihre E-Mail-Adresse wird innerhalb von 7 Tagen aus unserem Verteiler geloescht.
>
> Falls Sie sich erneut anmelden moechten: {{NEWSLETTER_SIGNUP_URL}}

---

## 7. Hinweise zur Implementierung

- Die Einwilligung muss **aktiv** erfolgen (Checkbox nicht vorausgewaehlt)
- Die Einwilligung muss **dokumentiert** werden (Zeitpunkt, IP-Adresse, Text)
- **Koppelungsverbot** (Art. 7 Abs. 4 DSGVO): Die Einwilligung darf nicht an eine Vertragsbedingung gekoppelt werden
- **Double-Opt-In** ist in Deutschland fuer E-Mail-Marketing **zwingend** (UWG § 7 Abs. 2 Nr. 3)
- Der Widerruf muss ebenso einfach sein wie die Erteilung (Abmeldelink in jeder E-Mail)

*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
    '["COMPANY_NAME","VERSION_DATE","PRIVACY_POLICY_URL","PLATFORM_NAME","NEWSLETTER_SIGNUP_URL"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'consent_texts' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');

-- ===========================================================================
-- Template 4: Videokonferenz-DSI
-- ===========================================================================
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'video_conference_dsi',
    'Datenschutzinformation — Videokonferenzen',
    'Datenschutzinformation fuer Teilnehmer von Videokonferenzen (Zoom, Teams, Meet). Art. 13 DSGVO, Aufzeichnungshinweis, Drittlanduebermittlung.',
    $template$# Datenschutzinformation — Videokonferenzen

Informationen gemaess Art. 13 DSGVO fuer Teilnehmer von Videokonferenzen

**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}

---

## 1. Verantwortlicher

**{{COMPANY_NAME}}**, {{COMPANY_ADDRESS_FULL}}
E-Mail: {{CONTACT_EMAIL}}
{{#IF DPO_NAME}}DSB: {{DPO_NAME}} — {{DPO_EMAIL}}{{/IF}}

---

## 2. Eingesetztes Tool

| Eigenschaft | Angabe |
|-------------|--------|
| Anbieter | {{VIDEO_PROVIDER_NAME}} |
| Sitz | {{VIDEO_PROVIDER_COUNTRY}} |
| Rolle | {{VIDEO_PROVIDER_ROLE}} |
| Datenschutzinformationen | {{VIDEO_PROVIDER_PRIVACY_URL}} |

{{#IF VIDEO_PROVIDER_IS_US}}
**Drittlanduebermittlung:** Der Anbieter ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusaetzlich werden EU-Standardvertragsklauseln eingesetzt.
{{/IF}}

---

## 3. Verarbeitete Daten

| Kategorie | Beispiele |
|-----------|----------|
| Accountdaten | Name, E-Mail (bei registrierten Nutzern) |
| Meetingdaten | Datum, Uhrzeit, Dauer, Teilnehmer, Meeting-ID |
| Inhaltsdaten | Audio, Video, Chat-Nachrichten, geteilte Inhalte |
| Technische Daten | IP-Adresse, Geraetetyp, Browserversion |
{{#IF HAS_RECORDING}} | Aufzeichnungen | Audio-/Videoaufzeichnung des Meetings | {{/IF}}

---

## 4. Zwecke und Rechtsgrundlagen

| Zweck | Rechtsgrundlage |
|-------|----------------|
| Durchfuehrung der Videokonferenz | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) oder lit. f (berechtigtes Interesse) |
| IT-Sicherheit und Stoerungsbehebung | Art. 6 Abs. 1 lit. f DSGVO |
{{#IF HAS_RECORDING}} | Aufzeichnung (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}}

{{#IF HAS_RECORDING}}
**Hinweis Aufzeichnung:** Videokonferenzen werden nur mit **vorheriger Einwilligung aller Teilnehmer** aufgezeichnet. Die Einwilligung wird zu Beginn des Meetings eingeholt. Teilnehmer, die nicht einwilligen, koennen ohne Aufzeichnung teilnehmen oder das Meeting verlassen.
{{/IF}}

---

## 5. Speicherdauer

| Daten | Speicherdauer |
|-------|:---:|
| Meeting-Metadaten | 30 Tage |
| Chat-Nachrichten | Bis Meeting-Ende (nicht gespeichert) |
{{#IF HAS_RECORDING}} | Aufzeichnungen | {{RECORDING_RETENTION_DAYS}} Tage | {{/IF}}
| Technische Logs | 7 Tage |

---

## 6. Ihre Rechte

Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Widerspruch (Art. 21), Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO).

Kontakt: {{DATA_SUBJECT_REQUEST_CHANNEL}}

*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
    '["COMPANY_NAME","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","VIDEO_PROVIDER_NAME","VIDEO_PROVIDER_COUNTRY","VIDEO_PROVIDER_ROLE","VIDEO_PROVIDER_PRIVACY_URL","DATA_SUBJECT_REQUEST_CHANNEL","RECORDING_RETENTION_DAYS"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'video_conference_dsi' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');

-- ===========================================================================
-- Template 5: ISMS-Leitfaden (Kurzfassung fuer /sdk/isms Modul)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
    id, tenant_id, document_type, title, description, content,
    placeholders, language, jurisdiction,
    license_id, license_name, source_name,
    attribution_required, is_complete_document, version, status,
    created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
    'isms_manual',
    'ISMS-Handbuch (ISO 27001)',
    'ISMS-Handbuch als uebergeordnetes Dokument des Informationssicherheits-Managementsystems nach ISO 27001:2022. Verweist auf alle untergeordneten Konzepte und Richtlinien.',
    $template$# ISMS-Handbuch

Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022

**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}

---

## 1. ISMS-Leitlinie

Siehe: **Informationssicherheitsrichtlinie** (information_security_policy)

---

## 2. Geltungsbereich (Scope)

### 2.1 Eingeschlossene Bereiche
{{SCOPE_DESCRIPTION}}

### 2.2 Interessierte Parteien
| Partei | Erwartungen |
|--------|-----------|
| Geschaeftsfuehrung | Schutz der Geschaeftswerte, Compliance |
| Kunden | Vertraulichkeit ihrer Daten, Verfuegbarkeit |
| Mitarbeitende | Klare Regeln, Schulung |
| Aufsichtsbehoerden | Gesetzeskonformitaet (DSGVO, NIS2) |
| Lieferanten | Faire Sicherheitsanforderungen |

---

## 3. Dokumentenstruktur

### 3.1 Uebergeordnete Dokumente
| Dokument | Zweck |
|----------|-------|
| ISMS-Handbuch (dieses Dokument) | Gesamtueberblick, Scope, Dokumentenstruktur |
| Informationssicherheitsrichtlinie | Sicherheitsziele, Grundsaetze, Rollen |
| Risikomanagement-Konzept | Risikoprozess, Bewertungsmatrix |
| Statement of Applicability (SoA) | Anwendbarkeit der ISO 27001 Controls |

### 3.2 Konzepte und Plaene
| Dokument | Verweis |
|----------|--------|
| IT-Sicherheitskonzept | it_security_concept |
| Datenschutzkonzept | data_protection_concept |
| Zugriffskonzept | access_control_concept |
| Backup-Recovery-Konzept | backup_recovery_concept |
| Logging-Konzept | logging_concept |
| Incident-Response-Plan | incident_response_plan |

### 3.3 Richtlinien
| Dokument | Verweis |
|----------|--------|
| Passwortrichtlinie | password_policy |
| Verschluesselungsrichtlinie | encryption_policy |
| BYOD-Richtlinie | byod_policy |
| KI-Nutzungsrichtlinie | ai_usage_policy |
| Remote-Work-Richtlinie | remote_work_policy |
| Alle weiteren Richtlinien | Siehe Document Generator |

### 3.4 Compliance-Dokumente
| Dokument | Verweis |
|----------|--------|
| TOM-Dokumentation | tom_documentation |
| VVT (Art. 30 DSGVO) | vvt_register |
| Loeschkonzept | loeschkonzept |
| Pflichtenregister | pflichtenregister |
| DSFA (Art. 35 DSGVO) | dsfa |

---

## 4. PDCA-Zyklus

| Phase | Aktivitaeten | Verantwortlich |
|-------|-------------|---------------|
| **Plan** | Risikoanalyse, Massnahmenplanung, Schulungsplanung | ISB |
| **Do** | Massnahmen umsetzen, Schulungen durchfuehren | Alle |
| **Check** | Interne Audits, KPI-Auswertung, Management-Review | ISB + GF |
| **Act** | Korrekturmassnahmen, kontinuierliche Verbesserung | ISB |

---

## 5. Management-Review

Jaehrliches Management-Review durch die Geschaeftsfuehrung. Inhalt:

- Ergebnisse der internen Audits
- Status der Korrekturmassnahmen
- Risikobewertung und -behandlung
- KPI-Auswertung
- Aenderungen im Kontext der Organisation
- Verbesserungsvorschlaege

---

## 6. Revision

Jaehrliche Pruefung. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.

*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
    '["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION"]'::jsonb,
    'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
    false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'isms_manual' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');