{ "regulation": "dsgvo", "regulation_full_name": "Datenschutz-Grundverordnung (EU) 2016/679", "version": "1.0", "obligations": [ { "id": "DSGVO-OBL-001", "title": "Verarbeitungsverzeichnis fuehren", "description": "Fuehrung eines Verzeichnisses aller Verarbeitungstaetigkeiten mit Angabe der Zwecke, Kategorien betroffener Personen, Empfaenger, Uebermittlungen in Drittlaender und Loeschfristen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 30", "title": "Verzeichnis von Verarbeitungstaetigkeiten", "erwaegungsgrund": "EG 82" } ], "sources": [ { "type": "article", "ref": "Art. 30 DSGVO" }, { "type": "erwaegungsgrund", "ref": "EG 82" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 1" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Verarbeitungsverzeichnis", "required": true }, { "name": "Regelmaessige Aktualisierung dokumentiert", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.02" ], "breakpilot_feature": "/sdk/vvt", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-002", "title": "Technische und organisatorische Massnahmen (TOMs)", "description": "Implementierung geeigneter technischer und organisatorischer Massnahmen zum Schutz personenbezogener Daten unter Beruecksichtigung des Stands der Technik.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 32", "title": "Sicherheit der Verarbeitung", "erwaegungsgrund": "EG 83" } ], "sources": [ { "type": "article", "ref": "Art. 32 DSGVO" }, { "type": "erwaegungsgrund", "ref": "EG 83" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 18" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "TOM-Dokumentation", "required": true }, { "name": "Risikoanalyse", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.CRYPTO.01", "TOM.CRYPTO.02", "TOM.IAM.01", "TOM.AC.01", "TOM.NET.01" ], "breakpilot_feature": "/sdk/tom", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-003", "title": "Datenschutz-Folgenabschaetzung (DSFA)", "description": "Durchfuehrung einer DSFA bei Verarbeitungsvorgaengen mit voraussichtlich hohem Risiko fuer die Rechte und Freiheiten natuerlicher Personen.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true }, { "field": "data_protection.large_scale_processing", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 35", "title": "Datenschutz-Folgenabschaetzung", "erwaegungsgrund": "EG 84, 89-92" } ], "sources": [ { "type": "article", "ref": "Art. 35 DSGVO" }, { "type": "erwaegungsgrund", "ref": "EG 84" }, { "type": "edpb_guideline", "ref": "EDPB Guidelines WP 248 rev.01" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Beginn der Verarbeitung" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "DSFA-Dokumentation", "required": true }, { "name": "Risikobewertung", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.03" ], "breakpilot_feature": "/sdk/dsfa", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-004", "title": "Datenschutzbeauftragten benennen", "description": "Benennung eines DSB bei oeffentlichen Stellen, systematischer Ueberwachung im grossen Umfang oder Verarbeitung besonderer Kategorien. In DE: ab 20 MA.", "applies_when": "needs_dpo", "applies_when_condition": { "any_of": [ { "field": "data_protection.needs_dpo", "operator": "EQUALS", "value": true }, { "field": "organization.employee_count", "operator": "GREATER_THAN", "value": 19 } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 37", "title": "Benennung eines Datenschutzbeauftragten", "erwaegungsgrund": "EG 97" } ], "sources": [ { "type": "article", "ref": "Art. 37 DSGVO" }, { "type": "article", "ref": "§ 38 BDSG" } ], "category": "Governance", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "event", "trigger": "Ab Schwellenwert" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "DSB-Bestellung", "required": true }, { "name": "Meldung an Aufsichtsbehoerde", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": "/sdk/dsb-portal", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-005", "title": "Auftragsverarbeitungsvertrag (AVV)", "description": "Abschluss eines AVV mit allen Auftragsverarbeitern gemaess Art. 28 Abs. 3 DSGVO.", "applies_when": "uses_processors", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true }, { "field": "data_protection.uses_processors", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 28", "title": "Auftragsverarbeiter", "erwaegungsgrund": "EG 81" } ], "sources": [ { "type": "article", "ref": "Art. 28 DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 13" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Verarbeitung" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "AVV-Vertrag", "required": true }, { "name": "TOM-Nachweis Auftragsverarbeiter", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.VENDOR.01", "TOM.VENDOR.02" ], "breakpilot_feature": "/sdk/vendor-compliance", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-006", "title": "Informationspflichten erfuellen", "description": "Information der betroffenen Personen ueber die Verarbeitung ihrer Daten bei Erhebung (Art. 13) oder nachtraeglich (Art. 14).", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 13", "title": "Informationspflicht bei Erhebung", "erwaegungsgrund": "EG 60-62" }, { "norm": "DSGVO", "article": "Art. 14", "title": "Informationspflicht bei Dritterhebung", "erwaegungsgrund": "EG 60-62" } ], "sources": [ { "type": "article", "ref": "Art. 13 DSGVO" }, { "type": "article", "ref": "Art. 14 DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 10" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Bei Datenerhebung" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Datenschutzerklaerung", "required": true }, { "name": "Informationsblaetter", "required": false } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.02" ], "breakpilot_feature": "/sdk/policy-generator", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-007", "title": "Betroffenenrechte umsetzen", "description": "Einrichtung von Prozessen zur Bearbeitung von Betroffenenanfragen innerhalb von 1 Monat: Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenportabilitaet, Widerspruch.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 15-21", "title": "Betroffenenrechte", "erwaegungsgrund": "EG 63-73" } ], "sources": [ { "type": "article", "ref": "Art. 15-21 DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 11" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "relative", "interval": "1 Monat nach Anfrage" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "DSR-Prozess dokumentiert", "required": true }, { "name": "Bearbeitungsprotokolle", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.DATA.01", "TOM.GOV.02" ], "breakpilot_feature": "/sdk/dsr", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-008", "title": "Einwilligungen dokumentieren", "description": "Nachweis gueltiger Einwilligungen: freiwillig, informiert, spezifisch, unmissverstaendlich, widerrufbar.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 7", "title": "Bedingungen fuer die Einwilligung", "erwaegungsgrund": "EG 32, 42-43" } ], "sources": [ { "type": "article", "ref": "Art. 7 DSGVO" }, { "type": "edpb_guideline", "ref": "EDPB Guidelines 05/2020" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Consent-Management-System", "required": true }, { "name": "Einwilligungsprotokolle", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.02", "TOM.DATA.01" ], "breakpilot_feature": "/sdk/consent", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-009", "title": "Loeschkonzept umsetzen", "description": "Implementierung eines Loeschkonzepts mit definierten Aufbewahrungsfristen und automatisierten Loeschroutinen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 17", "title": "Recht auf Loeschung", "erwaegungsgrund": "EG 65-66" }, { "norm": "DSGVO", "article": "Art. 5 Abs. 1 lit. e", "title": "Speicherbegrenzung", "erwaegungsgrund": "EG 39" } ], "sources": [ { "type": "article", "ref": "Art. 17 DSGVO" }, { "type": "article", "ref": "Art. 5 Abs. 1 lit. e DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 11" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Loeschkonzept", "required": true }, { "name": "Loeschprotokolle", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.DATA.01", "TOM.DATA.02" ], "breakpilot_feature": "/sdk/loeschfristen", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-010", "title": "Drittlandtransfer absichern", "description": "Bei Uebermittlung in Drittlaender ohne Angemessenheitsbeschluss: SCCs, BCRs oder andere Garantien. Transfer Impact Assessment durchfuehren.", "applies_when": "cross_border", "applies_when_condition": { "all_of": [ { "field": "data_protection.cross_border_transfer", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 44-49", "title": "Uebermittlung in Drittlaender", "erwaegungsgrund": "EG 101-114" } ], "sources": [ { "type": "article", "ref": "Art. 44-49 DSGVO" }, { "type": "edpb_guideline", "ref": "EDPB Recommendations 01/2020" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Uebermittlung" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "SCCs abgeschlossen", "required": true }, { "name": "Transfer Impact Assessment", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.VENDOR.01", "TOM.VENDOR.03" ], "breakpilot_feature": "/sdk/vendor-compliance", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-011", "title": "Meldeprozess Datenschutzverletzungen", "description": "Etablierung eines Prozesses zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen innerhalb von 72 Stunden.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 33", "title": "Meldung an Aufsichtsbehoerde", "erwaegungsgrund": "EG 85-88" }, { "norm": "DSGVO", "article": "Art. 34", "title": "Benachrichtigung Betroffener", "erwaegungsgrund": "EG 86-88" } ], "sources": [ { "type": "article", "ref": "Art. 33 DSGVO" }, { "type": "article", "ref": "Art. 34 DSGVO" }, { "type": "edpb_guideline", "ref": "EDPB Guidelines 01/2021" } ], "category": "Meldepflicht", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "absolute", "duration": "72 Stunden" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Breach-Notification-Prozess", "required": true }, { "name": "Meldevorlage", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.OPS.01", "TOM.OPS.02", "TOM.LOG.01" ], "breakpilot_feature": "/sdk/incident-response", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-012", "title": "Rechtmaessigkeit der Verarbeitung sicherstellen", "description": "Jede Verarbeitung muss auf einer Rechtsgrundlage nach Art. 6 Abs. 1 basieren. Dokumentation der Rechtsgrundlage pro Verarbeitungstaetigkeit.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 5 Abs. 1 lit. a", "title": "Rechtmaessigkeit", "erwaegungsgrund": "EG 39-40" } ], "sources": [ { "type": "article", "ref": "Art. 5 Abs. 1 lit. a DSGVO" }, { "type": "article", "ref": "Art. 6 DSGVO" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Dokumentierte Rechtsgrundlagen", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.02" ], "breakpilot_feature": "/sdk/vvt", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-013", "title": "Zweckbindung einhalten", "description": "Personenbezogene Daten duerfen nur fuer festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer damit unvereinbaren Weise weiterverarbeitet werden.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 5 Abs. 1 lit. b", "title": "Zweckbindung", "erwaegungsgrund": "EG 39, 50" } ], "sources": [ { "type": "article", "ref": "Art. 5 Abs. 1 lit. b DSGVO" } ], "category": "Governance", "responsible": "Verantwortlicher", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Zweckdokumentation je Verarbeitung", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": "/sdk/vvt", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-014", "title": "Datenminimierung umsetzen", "description": "Nur solche personenbezogenen Daten erheben, die dem Zweck angemessen, erheblich und auf das notwendige Mass beschraenkt sind.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 5 Abs. 1 lit. c", "title": "Datenminimierung", "erwaegungsgrund": "EG 39" } ], "sources": [ { "type": "article", "ref": "Art. 5 Abs. 1 lit. c DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Datenminimierungs-Konzept", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.DATA.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-015", "title": "Richtigkeit der Daten gewaehrleisten", "description": "Personenbezogene Daten muessen sachlich richtig und auf dem neuesten Stand sein. Unrichtige Daten sind unverzueglich zu berichtigen oder zu loeschen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 5 Abs. 1 lit. d", "title": "Richtigkeit", "erwaegungsgrund": "EG 39" } ], "sources": [ { "type": "article", "ref": "Art. 5 Abs. 1 lit. d DSGVO" } ], "category": "Organisatorisch", "responsible": "Verantwortlicher", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Datenqualitaetsprozess", "required": true } ], "priority": "mittel", "tom_control_ids": [ "TOM.DATA.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-016", "title": "Rechenschaftspflicht erfuellen", "description": "Der Verantwortliche muss die Einhaltung der Datenschutzgrundsaetze nachweisen koennen (Accountability).", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 5 Abs. 2", "title": "Rechenschaftspflicht", "erwaegungsgrund": "EG 74, 85" } ], "sources": [ { "type": "article", "ref": "Art. 5 Abs. 2 DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 1" } ], "category": "Governance", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Compliance-Dokumentation", "required": true }, { "name": "Audit-Trail", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.02", "TOM.LOG.01" ], "breakpilot_feature": "/sdk/audit", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-017", "title": "Interessenabwaegung bei berechtigtem Interesse", "description": "Bei Verarbeitung auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f): dokumentierte Abwaegung zwischen Interessen des Verantwortlichen und der betroffenen Person.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 6 Abs. 1 lit. f", "title": "Berechtigtes Interesse", "erwaegungsgrund": "EG 47-49" } ], "sources": [ { "type": "article", "ref": "Art. 6 Abs. 1 lit. f DSGVO" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Verarbeitungsbeginn" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Interessenabwaegung dokumentiert", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-018", "title": "Zweckaenderung pruefen", "description": "Bei Weiterverarbeitung zu einem anderen Zweck: Vereinbarkeitstest nach Art. 6 Abs. 4 durchfuehren und dokumentieren.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 6 Abs. 4", "title": "Vereinbarkeitstest", "erwaegungsgrund": "EG 50" } ], "sources": [ { "type": "article", "ref": "Art. 6 Abs. 4 DSGVO" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Zweckaenderung" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Vereinbarkeitspruefung", "required": true } ], "priority": "mittel", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-019", "title": "Besondere Kategorien schuetzen", "description": "Verarbeitung besonderer Datenkategorien (Gesundheit, Biometrie, Religion, Ethnie, polit. Meinung, Gewerkschaft, Genetik, Sexualleben) grundsaetzlich untersagt — Ausnahmen nur nach Art. 9 Abs. 2.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true }, { "field": "data_protection.processes_special_categories", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 9 Abs. 1", "title": "Besondere Kategorien", "erwaegungsgrund": "EG 51-56" } ], "sources": [ { "type": "article", "ref": "Art. 9 DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 17" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Verarbeitung" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Ausnahmetatbestand dokumentiert", "required": true }, { "name": "DSFA bei Hochrisiko", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.GOV.01", "TOM.CRYPTO.01", "TOM.AC.01" ], "breakpilot_feature": "/sdk/dsfa", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-020", "title": "Gesundheitsdaten besonders schuetzen", "description": "Verarbeitung von Gesundheitsdaten erfordert zusaetzliche Schutzmassnahmen: Verschluesselung, Zugriffsbeschraenkung, Protokollierung.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_health_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 9 Abs. 2", "title": "Ausnahmen besondere Kategorien", "erwaegungsgrund": "EG 53-54" } ], "sources": [ { "type": "article", "ref": "Art. 9 Abs. 2 DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Schutzkonzept Gesundheitsdaten", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.CRYPTO.01", "TOM.CRYPTO.02", "TOM.AC.01", "TOM.LOG.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-021", "title": "Verarbeitung von Straftaten-Daten einschraenken", "description": "Verarbeitung von personenbezogenen Daten ueber strafrechtliche Verurteilungen nur unter behoerdlicher Aufsicht oder nach nationalem Recht.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 10", "title": "Straftaten und Verurteilungen", "erwaegungsgrund": "EG 19" } ], "sources": [ { "type": "article", "ref": "Art. 10 DSGVO" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Rechtsgrundlage fuer Straftaten-Verarbeitung", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01", "TOM.AC.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-022", "title": "Transparente Kommunikation gewaehrleisten", "description": "Alle Informationen und Mitteilungen in praeizser, transparenter, verstaendlicher und leicht zugaenglicher Form in klarer und einfacher Sprache.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 12", "title": "Transparente Information", "erwaegungsgrund": "EG 58-59" } ], "sources": [ { "type": "article", "ref": "Art. 12 DSGVO" }, { "type": "edpb_guideline", "ref": "EDPB Guidelines on Transparency" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Verstaendliche Datenschutzerklaerungen", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.02" ], "breakpilot_feature": "/sdk/policy-generator", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-023", "title": "Informationspflicht bei Dritterhebung (Art. 14)", "description": "Wenn Daten nicht bei der betroffenen Person erhoben werden: Information innerhalb angemessener Frist, spaetestens nach einem Monat.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 14", "title": "Informationspflicht bei Dritterhebung", "erwaegungsgrund": "EG 61-62" } ], "sources": [ { "type": "article", "ref": "Art. 14 DSGVO" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "relative", "interval": "1 Monat nach Erhebung" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Informationsschreiben Dritterhebung", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.02" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-024", "title": "Auskunftsrecht umsetzen (Art. 15)", "description": "Betroffene haben das Recht auf Auskunft, ob und welche Daten verarbeitet werden inkl. Kopie. Antwort innerhalb 1 Monat.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 15", "title": "Auskunftsrecht", "erwaegungsgrund": "EG 63" } ], "sources": [ { "type": "article", "ref": "Art. 15 DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 6" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "relative", "interval": "1 Monat" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Auskunftsprozess dokumentiert", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.DATA.01", "TOM.GOV.02" ], "breakpilot_feature": "/sdk/dsr", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-025", "title": "Recht auf Berichtigung umsetzen (Art. 16)", "description": "Betroffene haben das Recht auf unverzuegliche Berichtigung unrichtiger Daten und Vervollstaendigung unvollstaendiger Daten.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 16", "title": "Recht auf Berichtigung", "erwaegungsgrund": "EG 65" } ], "sources": [ { "type": "article", "ref": "Art. 16 DSGVO" } ], "category": "Organisatorisch", "responsible": "Verantwortlicher", "deadline": { "type": "relative", "interval": "unverzueglich" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Berichtigungsprozess", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.DATA.01" ], "breakpilot_feature": "/sdk/dsr", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-026", "title": "Recht auf Loeschung umsetzen (Art. 17)", "description": "Loeschung auf Anfrage wenn Zweck entfallen, Einwilligung widerrufen, Widerspruch, unrechtmaessige Verarbeitung. Informationspflicht an Empfaenger.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 17", "title": "Recht auf Loeschung", "erwaegungsgrund": "EG 65-66" } ], "sources": [ { "type": "article", "ref": "Art. 17 DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 11" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "relative", "interval": "unverzueglich" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Loeschprozess dokumentiert", "required": true }, { "name": "Empfaenger-Benachrichtigungsprozess", "required": false } ], "priority": "hoch", "tom_control_ids": [ "TOM.DATA.01", "TOM.DATA.02" ], "breakpilot_feature": "/sdk/loeschfristen", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-027", "title": "Recht auf Einschraenkung der Verarbeitung (Art. 18)", "description": "Einschraenkung der Verarbeitung bei Bestreitung der Richtigkeit, unrechtmaessiger Verarbeitung, oder Widerspruch. Markierung und getrennte Speicherung.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 18", "title": "Recht auf Einschraenkung", "erwaegungsgrund": "EG 67" } ], "sources": [ { "type": "article", "ref": "Art. 18 DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "relative", "interval": "unverzueglich" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Einschraenkungsmechanismus implementiert", "required": true } ], "priority": "mittel", "tom_control_ids": [ "TOM.DATA.01", "TOM.AC.01" ], "breakpilot_feature": "/sdk/dsr", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-028", "title": "Mitteilungspflicht an Empfaenger (Art. 19)", "description": "Bei Berichtigung, Loeschung oder Einschraenkung: Mitteilung an jeden Empfaenger, dem die Daten offengelegt wurden.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true }, { "field": "data_protection.uses_processors", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 19", "title": "Mitteilungspflicht", "erwaegungsgrund": "EG 66" } ], "sources": [ { "type": "article", "ref": "Art. 19 DSGVO" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Nach Berichtigung/Loeschung" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Empfaengerliste", "required": true }, { "name": "Benachrichtigungsnachweis", "required": false } ], "priority": "mittel", "tom_control_ids": [ "TOM.DATA.01", "TOM.VENDOR.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-029", "title": "Recht auf Datenportabilitaet umsetzen (Art. 20)", "description": "Bereitstellung personenbezogener Daten in strukturiertem, gaengigem, maschinenlesbarem Format. Recht auf direkte Uebermittlung an anderen Verantwortlichen.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 20", "title": "Recht auf Datenportabilitaet", "erwaegungsgrund": "EG 68" } ], "sources": [ { "type": "article", "ref": "Art. 20 DSGVO" }, { "type": "edpb_guideline", "ref": "EDPB Guidelines WP 242 rev.01" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "relative", "interval": "1 Monat" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Export-Funktion implementiert", "required": true } ], "priority": "mittel", "tom_control_ids": [ "TOM.DATA.01" ], "breakpilot_feature": "/sdk/dsr", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-030", "title": "Widerspruchsrecht umsetzen (Art. 21)", "description": "Widerspruchsrecht bei Verarbeitung auf Grundlage berechtigter Interessen oder oeffentlicher Aufgabe. Bei Direktwerbung: sofortige Einstellung.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 21", "title": "Widerspruchsrecht", "erwaegungsgrund": "EG 69-70" } ], "sources": [ { "type": "article", "ref": "Art. 21 DSGVO" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Nach Widerspruch" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Widerspruchsprozess dokumentiert", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.DATA.01", "TOM.GOV.02" ], "breakpilot_feature": "/sdk/dsr", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-031", "title": "Automatisierte Einzelentscheidungen schuetzen (Art. 22)", "description": "Recht, nicht einer ausschliesslich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu sein, die rechtliche Wirkung entfaltet oder erheblich beeintraechtigt.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true }, { "field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 22", "title": "Automatisierte Einzelentscheidung", "erwaegungsgrund": "EG 71-72" } ], "sources": [ { "type": "article", "ref": "Art. 22 DSGVO" }, { "type": "edpb_guideline", "ref": "EDPB Guidelines WP 251 rev.01" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Human-in-the-Loop-Prozess", "required": true }, { "name": "Erklaerbarkeit der Entscheidung", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.03", "TOM.LOG.01" ], "breakpilot_feature": "/sdk/ai-act", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-032", "title": "Geeignete Massnahmen umsetzen (Art. 24)", "description": "Unter Beruecksichtigung von Art, Umfang, Umstaenden und Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken geeignete Massnahmen umsetzen.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 24", "title": "Verantwortung des Verantwortlichen", "erwaegungsgrund": "EG 74-77" } ], "sources": [ { "type": "article", "ref": "Art. 24 DSGVO" } ], "category": "Governance", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Datenschutzmanagement-System", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.02", "TOM.GOV.03" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-033", "title": "Datenschutz durch Technikgestaltung (Privacy by Design)", "description": "Technische und organisatorische Massnahmen (z.B. Pseudonymisierung) bereits bei der Konzeption der Verarbeitung implementieren.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 25 Abs. 1", "title": "Datenschutz durch Technikgestaltung", "erwaegungsgrund": "EG 78" } ], "sources": [ { "type": "article", "ref": "Art. 25 Abs. 1 DSGVO" }, { "type": "edpb_guideline", "ref": "EDPB Guidelines 4/2019" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "event", "trigger": "Bei System-Entwicklung" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Privacy-by-Design-Konzept", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.SDLC.01", "TOM.SDLC.02" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-034", "title": "Datenschutzfreundliche Voreinstellungen (Privacy by Default)", "description": "Voreinstellungen muessen sicherstellen, dass nur fuer den Zweck erforderliche Daten verarbeitet werden (Menge, Umfang, Speicherfrist, Zugaenglichkeit).", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 25 Abs. 2", "title": "Datenschutzfreundliche Voreinstellungen", "erwaegungsgrund": "EG 78" } ], "sources": [ { "type": "article", "ref": "Art. 25 Abs. 2 DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "event", "trigger": "Bei System-Entwicklung" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Default-Settings-Dokumentation", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.SDLC.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-035", "title": "Gemeinsame Verantwortlichkeit regeln (Art. 26)", "description": "Bei gemeinsam Verantwortlichen: transparente Vereinbarung ueber Pflichten, Informationspflichten und Anlaufstelle fuer Betroffene.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 26", "title": "Gemeinsam Verantwortliche", "erwaegungsgrund": "EG 79" } ], "sources": [ { "type": "article", "ref": "Art. 26 DSGVO" } ], "category": "Organisatorisch", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "event", "trigger": "Vor gemeinsamer Verarbeitung" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Joint-Controller-Agreement", "required": true } ], "priority": "mittel", "tom_control_ids": [ "TOM.VENDOR.01" ], "breakpilot_feature": "/sdk/vendor-compliance", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-036", "title": "EU-Vertreter benennen (Art. 27)", "description": "Nicht in der EU niedergelassene Verantwortliche/Auftragsverarbeiter muessen einen Vertreter in der EU benennen.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 27", "title": "Vertreter", "erwaegungsgrund": "EG 80" } ], "sources": [ { "type": "article", "ref": "Art. 27 DSGVO" } ], "category": "Organisatorisch", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "event", "trigger": "Bei Verarbeitung aus Drittstaat" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Vertreter-Benennung", "required": true } ], "priority": "niedrig", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-037", "title": "Unterauftragsverarbeiter genehmigen (Art. 28 Abs. 2)", "description": "Auftragsverarbeiter darf ohne vorherige schriftliche Genehmigung keinen weiteren Auftragsverarbeiter einsetzen.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true }, { "field": "data_protection.uses_processors", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 28 Abs. 2", "title": "Unterauftragsverarbeiter", "erwaegungsgrund": "EG 81" } ], "sources": [ { "type": "article", "ref": "Art. 28 Abs. 2 DSGVO" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Einsatz Unterauftragsverarbeiter" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Genehmigungsprozess dokumentiert", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.VENDOR.01", "TOM.VENDOR.02" ], "breakpilot_feature": "/sdk/vendor-compliance", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-038", "title": "AVV-Mindestinhalt sicherstellen (Art. 28 Abs. 3)", "description": "AVV muss enthalten: Gegenstand, Dauer, Art, Zweck, Datenkategorien, Betroffene, Pflichten und Rechte des Verantwortlichen.", "applies_when": "uses_processors", "applies_when_condition": { "all_of": [ { "field": "data_protection.uses_processors", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 28 Abs. 3", "title": "Auftragsverarbeitungsvertrag Inhalt", "erwaegungsgrund": "EG 81" } ], "sources": [ { "type": "article", "ref": "Art. 28 Abs. 3 DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 13" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Verarbeitung" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "AVV mit vollstaendigem Inhalt", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.VENDOR.01", "TOM.VENDOR.02" ], "breakpilot_feature": "/sdk/vendor-compliance", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-039", "title": "Weisungsgebundenheit Auftragsverarbeiter (Art. 29)", "description": "Auftragsverarbeiter und dessen Mitarbeiter duerfen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.", "applies_when": "uses_processors", "applies_when_condition": { "all_of": [ { "field": "data_protection.uses_processors", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 29", "title": "Verarbeitung unter Aufsicht", "erwaegungsgrund": "EG 81" } ], "sources": [ { "type": "article", "ref": "Art. 29 DSGVO" } ], "category": "Organisatorisch", "responsible": "Verantwortlicher", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Weisungsdokumentation", "required": true } ], "priority": "mittel", "tom_control_ids": [ "TOM.VENDOR.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-040", "title": "VVT-Pflichtinhalt sicherstellen (Art. 30 Abs. 1)", "description": "Das Verzeichnis muss enthalten: Name/Kontakt Verantwortlicher, Zwecke, Kategorien betroffener Personen/Daten, Empfaenger, Drittland-Uebermittlungen, Loeschfristen, TOM-Beschreibung.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 30 Abs. 1", "title": "VVT Verantwortlicher", "erwaegungsgrund": "EG 82" } ], "sources": [ { "type": "article", "ref": "Art. 30 Abs. 1 DSGVO" }, { "type": "dsk_kurzpapier", "ref": "DSK KP Nr. 1" } ], "category": "Dokumentation", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Vollstaendiges VVT", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.02" ], "breakpilot_feature": "/sdk/vvt", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-041", "title": "VVT Auftragsverarbeiter fuehren (Art. 30 Abs. 2)", "description": "Auch Auftragsverarbeiter muessen ein Verzeichnis aller Verarbeitungstaetigkeiten fuehren.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_processor", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 30 Abs. 2", "title": "VVT Auftragsverarbeiter", "erwaegungsgrund": "EG 82" } ], "sources": [ { "type": "article", "ref": "Art. 30 Abs. 2 DSGVO" } ], "category": "Dokumentation", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "VVT Auftragsverarbeiter", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": "/sdk/vvt", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-042", "title": "Pseudonymisierung und Verschluesselung einsetzen (Art. 32 Abs. 1a)", "description": "Geeignete Pseudonymisierung und Verschluesselung personenbezogener Daten als Sicherheitsmassnahme.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 32 Abs. 1 lit. a", "title": "Pseudonymisierung und Verschluesselung", "erwaegungsgrund": "EG 83" } ], "sources": [ { "type": "article", "ref": "Art. 32 Abs. 1 lit. a DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Verschluesselungskonzept", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.CRYPTO.01", "TOM.CRYPTO.02", "TOM.CRYPTO.03" ], "breakpilot_feature": "/sdk/tom", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-043", "title": "Vertraulichkeit, Integritaet, Verfuegbarkeit sicherstellen (Art. 32 Abs. 1b)", "description": "Faehigkeit, die Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Verarbeitungssysteme und Dienste auf Dauer sicherzustellen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 32 Abs. 1 lit. b", "title": "CIA+Belastbarkeit", "erwaegungsgrund": "EG 83" } ], "sources": [ { "type": "article", "ref": "Art. 32 Abs. 1 lit. b DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "CIA-Schutzmassnahmen dokumentiert", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.NET.01", "TOM.NET.02", "TOM.BCP.01" ], "breakpilot_feature": "/sdk/tom", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-044", "title": "Wiederherstellbarkeit sicherstellen (Art. 32 Abs. 1c)", "description": "Faehigkeit, die Verfuegbarkeit und den Zugang zu Daten bei einem Zwischenfall rasch wiederherzustellen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 32 Abs. 1 lit. c", "title": "Wiederherstellbarkeit", "erwaegungsgrund": "EG 83" } ], "sources": [ { "type": "article", "ref": "Art. 32 Abs. 1 lit. c DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Backup-Konzept", "required": true }, { "name": "Wiederherstellungstests", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.BCP.01", "TOM.BCP.02", "TOM.BCP.03" ], "breakpilot_feature": "/sdk/tom", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-045", "title": "Regelmaessige Ueberpruefung der TOMs (Art. 32 Abs. 1d)", "description": "Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 32 Abs. 1 lit. d", "title": "Regelmaessige Ueberpruefung", "erwaegungsgrund": "EG 83" } ], "sources": [ { "type": "article", "ref": "Art. 32 Abs. 1 lit. d DSGVO" } ], "category": "Audit", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "jaehrlich" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "TOM-Audit-Berichte", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.03", "TOM.OPS.03" ], "breakpilot_feature": "/sdk/audit", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-046", "title": "72-Stunden-Meldepflicht an Aufsichtsbehoerde (Art. 33)", "description": "Meldung einer Datenschutzverletzung an die Aufsichtsbehoerde innerhalb von 72 Stunden nach Bekanntwerden, es sei denn voraussichtlich kein Risiko.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 33", "title": "Meldung an Aufsichtsbehoerde", "erwaegungsgrund": "EG 85-88" } ], "sources": [ { "type": "article", "ref": "Art. 33 DSGVO" }, { "type": "edpb_guideline", "ref": "EDPB Guidelines 01/2021" } ], "category": "Meldepflicht", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "absolute", "duration": "72 Stunden" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Meldeprozess dokumentiert", "required": true }, { "name": "Meldeformular", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.OPS.01", "TOM.OPS.02" ], "breakpilot_feature": "/sdk/incident-response", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-047", "title": "Benachrichtigung Betroffener bei hohem Risiko (Art. 34)", "description": "Bei hohem Risiko: unverzuegliche Benachrichtigung der betroffenen Personen in klarer und einfacher Sprache.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 34", "title": "Benachrichtigung Betroffener", "erwaegungsgrund": "EG 86-88" } ], "sources": [ { "type": "article", "ref": "Art. 34 DSGVO" } ], "category": "Meldepflicht", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "unverzueglich bei hohem Risiko" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Benachrichtigungsvorlage", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.OPS.01" ], "breakpilot_feature": "/sdk/incident-response", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-048", "title": "DSFA bei systematischer Ueberwachung (Art. 35 Abs. 3a)", "description": "DSFA ist insbesondere erforderlich bei systematischer und umfassender Bewertung persoenlicher Aspekte natuerlicher Personen (Profiling).", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true }, { "field": "ai_usage.uses_ai", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 35 Abs. 3 lit. a", "title": "DSFA Profiling", "erwaegungsgrund": "EG 91" } ], "sources": [ { "type": "article", "ref": "Art. 35 Abs. 3 lit. a DSGVO" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Verarbeitung" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "DSFA zu Profiling", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.03" ], "breakpilot_feature": "/sdk/dsfa", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-049", "title": "DSFA bei Ueberwachung oeffentlicher Bereiche (Art. 35 Abs. 3c)", "description": "DSFA bei systematischer umfangreicher Ueberwachung oeffentlich zugaenglicher Bereiche (z.B. Videoueberwachung).", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ { "field": "data_protection.uses_video_surveillance", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 35 Abs. 3 lit. c", "title": "DSFA Ueberwachung", "erwaegungsgrund": "EG 91" } ], "sources": [ { "type": "article", "ref": "Art. 35 Abs. 3 lit. c DSGVO" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Ueberwachung" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "DSFA Videoueberwachung", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.03" ], "breakpilot_feature": "/sdk/dsfa", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-050", "title": "Konsultation der Aufsichtsbehoerde (Art. 36)", "description": "Wenn DSFA ergibt, dass hohes Risiko verbleibt: vorherige Konsultation der Aufsichtsbehoerde vor Verarbeitungsbeginn.", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true }, { "field": "data_protection.large_scale_processing", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 36", "title": "Vorherige Konsultation", "erwaegungsgrund": "EG 94-96" } ], "sources": [ { "type": "article", "ref": "Art. 36 DSGVO" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Bei hohem Restrisiko" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Konsultationsnachweis", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": "/sdk/dsfa", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-051", "title": "DSB-Stellung sicherstellen (Art. 38)", "description": "Der DSB muss ordnungsgemaess und fruehzeitig eingebunden werden, Ressourcen erhalten und darf nicht abberufen oder benachteiligt werden.", "applies_when": "needs_dpo", "applies_when_condition": { "all_of": [ { "field": "data_protection.needs_dpo", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 38", "title": "Stellung des DSB", "erwaegungsgrund": "EG 97" } ], "sources": [ { "type": "article", "ref": "Art. 38 DSGVO" } ], "category": "Organisatorisch", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "DSB-Einbindungsnachweis", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": "/sdk/dsb-portal", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-052", "title": "DSB-Aufgaben gewaehrleisten (Art. 39)", "description": "DSB muss mindestens: Unterrichtung/Beratung, Ueberwachung der Einhaltung, Beratung bei DSFA, Zusammenarbeit mit Aufsichtsbehoerde, Anlaufstelle fuer Betroffene.", "applies_when": "needs_dpo", "applies_when_condition": { "all_of": [ { "field": "data_protection.needs_dpo", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 39", "title": "Aufgaben des DSB", "erwaegungsgrund": "EG 97" } ], "sources": [ { "type": "article", "ref": "Art. 39 DSGVO" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "DSB-Taetigkeitsbericht", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": "/sdk/dsb-portal", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-053", "title": "Verhaltensregeln pruefen und einhalten (Art. 40)", "description": "Pruefung ob branchenspezifische Verhaltensregeln vorliegen und Einhaltung ggf. nachweisen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 40", "title": "Verhaltensregeln", "erwaegungsgrund": "EG 98-99" } ], "sources": [ { "type": "article", "ref": "Art. 40 DSGVO" } ], "category": "Compliance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "jaehrlich" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Verhaltensregeln-Pruefung", "required": false } ], "priority": "niedrig", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-054", "title": "Datenschutz-Zertifizierung pruefen (Art. 42)", "description": "Pruefung, ob Datenschutz-Zertifizierungsverfahren in Anspruch genommen werden koennen, um Compliance nachzuweisen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 42", "title": "Zertifizierung", "erwaegungsgrund": "EG 100" } ], "sources": [ { "type": "article", "ref": "Art. 42 DSGVO" } ], "category": "Compliance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "jaehrlich" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Zertifizierungspruefung", "required": false } ], "priority": "niedrig", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.03" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-055", "title": "Angemessenheitsbeschluss pruefen (Art. 45)", "description": "Vor Drittlandtransfer: Pruefen ob ein Angemessenheitsbeschluss der EU-Kommission vorliegt.", "applies_when": "cross_border", "applies_when_condition": { "all_of": [ { "field": "data_protection.cross_border_transfer", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 45", "title": "Angemessenheitsbeschluss", "erwaegungsgrund": "EG 103-107" } ], "sources": [ { "type": "article", "ref": "Art. 45 DSGVO" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Transfer" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Angemessenheitspruefung dokumentiert", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.VENDOR.01", "TOM.VENDOR.03" ], "breakpilot_feature": "/sdk/vendor-compliance", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-056", "title": "Standardvertragsklauseln abschliessen (Art. 46)", "description": "Ohne Angemessenheitsbeschluss: geeignete Garantien wie EU-Standardvertragsklauseln (SCCs) oder BCRs.", "applies_when": "cross_border", "applies_when_condition": { "all_of": [ { "field": "data_protection.cross_border_transfer", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 46", "title": "Geeignete Garantien", "erwaegungsgrund": "EG 108-110" } ], "sources": [ { "type": "article", "ref": "Art. 46 DSGVO" }, { "type": "edpb_guideline", "ref": "EDPB Recommendations 01/2020" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Transfer ohne Angemessenheitsbeschluss" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "SCCs oder BCRs abgeschlossen", "required": true }, { "name": "Transfer Impact Assessment", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.VENDOR.01", "TOM.VENDOR.03" ], "breakpilot_feature": "/sdk/vendor-compliance", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-057", "title": "Verbindliche interne Datenschutzvorschriften (BCR) (Art. 47)", "description": "Bei Konzerntransfers: Pruefung und ggf. Implementierung verbindlicher interner Datenschutzvorschriften (Binding Corporate Rules).", "applies_when": "cross_border", "applies_when_condition": { "all_of": [ { "field": "data_protection.cross_border_transfer", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 47", "title": "BCR", "erwaegungsgrund": "EG 110" } ], "sources": [ { "type": "article", "ref": "Art. 47 DSGVO" } ], "category": "Organisatorisch", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "event", "trigger": "Bei Konzern-Drittlandtransfer" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "BCR-Dokumentation", "required": false } ], "priority": "mittel", "tom_control_ids": [ "TOM.GOV.01", "TOM.VENDOR.03" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-058", "title": "DSFA bei besonderer Datenkategorien-Massenverarbeitung (Art. 35 Abs. 3b)", "description": "DSFA ist insbesondere erforderlich bei umfangreicher Verarbeitung besonderer Datenkategorien (Art. 9) oder Straftaten-Daten (Art. 10).", "applies_when": "high_risk", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true }, { "field": "data_protection.processes_special_categories", "operator": "EQUALS", "value": true }, { "field": "data_protection.large_scale_processing", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 35 Abs. 3 lit. b", "title": "DSFA besondere Kategorien", "erwaegungsgrund": "EG 91" } ], "sources": [ { "type": "article", "ref": "Art. 35 Abs. 3 lit. b DSGVO" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Verarbeitung" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "DSFA fuer besondere Kategorien", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.03" ], "breakpilot_feature": "/sdk/dsfa", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-059", "title": "Beschaeftigtendaten schuetzen", "description": "Verarbeitung von Beschaeftigtendaten nur im Rahmen von § 26 BDSG: fuer Begruendung, Durchfuehrung oder Beendigung des Beschaeftigungsverhaeltnisses.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_employee_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 88", "title": "Beschaeftigtendatenschutz", "erwaegungsgrund": "EG 155" }, { "norm": "BDSG", "article": "§ 26", "title": "Beschaeftigtendatenschutz" } ], "sources": [ { "type": "article", "ref": "§ 26 BDSG" }, { "type": "article", "ref": "Art. 88 DSGVO" } ], "category": "Organisatorisch", "responsible": "Personalleitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Beschaeftigtendatenschutz-Konzept", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.HR.01", "TOM.HR.02", "TOM.AC.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-060", "title": "Datenschutz-Schulungen durchfuehren", "description": "Regelmaessige Schulung aller Mitarbeiter, die personenbezogene Daten verarbeiten, zu Datenschutzpflichten und -risiken.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 39 Abs. 1 lit. b", "title": "Sensibilisierung und Schulung", "erwaegungsgrund": "EG 97" } ], "sources": [ { "type": "article", "ref": "Art. 39 Abs. 1 lit. b DSGVO" } ], "category": "Schulung", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "jaehrlich" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Schulungsnachweise", "required": true }, { "name": "Schulungsplan", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.HR.01", "TOM.HR.02" ], "breakpilot_feature": "/sdk/training", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-061", "title": "Vertraulichkeitsverpflichtung der Mitarbeiter", "description": "Alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, auf Vertraulichkeit verpflichten.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 28 Abs. 3 lit. b", "title": "Vertraulichkeit", "erwaegungsgrund": "EG 81, 83" } ], "sources": [ { "type": "article", "ref": "Art. 28 Abs. 3 lit. b DSGVO" }, { "type": "article", "ref": "Art. 29 DSGVO" } ], "category": "Organisatorisch", "responsible": "Personalleitung", "deadline": { "type": "event", "trigger": "Bei Eintritt" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Vertraulichkeitserklaerungen", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.HR.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-062", "title": "Cookie-Einwilligung einholen", "description": "Einholung informierter Einwilligung vor dem Setzen nicht-essentieller Cookies und Tracking-Technologien.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 6 Abs. 1 lit. a", "title": "Einwilligung", "erwaegungsgrund": "EG 32" }, { "norm": "TTDSG", "article": "§ 25", "title": "Endeinrichtungen" } ], "sources": [ { "type": "article", "ref": "Art. 6 Abs. 1 lit. a DSGVO" }, { "type": "article", "ref": "§ 25 TTDSG" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "event", "trigger": "Vor Cookie-Setzung" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Cookie-Banner implementiert", "required": true }, { "name": "Consent-Dokumentation", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.02", "TOM.DATA.01" ], "breakpilot_feature": "/sdk/cookie-banner", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-063", "title": "Datenschutz fuer Plattform-Nutzer", "description": "Plattformbetreiber muessen sicherstellen, dass die Datenschutzrechte aller Plattform-Nutzer gewaehrleistet sind.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.operates_platform", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 24", "title": "Verantwortung", "erwaegungsgrund": "EG 74-77" } ], "sources": [ { "type": "article", "ref": "Art. 24 DSGVO" } ], "category": "Governance", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Plattform-Datenschutzkonzept", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.02" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-064", "title": "Datenschutzerklaerung bereitstellen", "description": "Umfassende Datenschutzerklaerung auf der Website, leicht zugaenglich, in verstaendlicher Sprache.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 13", "title": "Informationspflicht", "erwaegungsgrund": "EG 58-62" } ], "sources": [ { "type": "article", "ref": "Art. 13 DSGVO" }, { "type": "article", "ref": "Art. 12 DSGVO" } ], "category": "Dokumentation", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Datenschutzerklaerung online", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.02" ], "breakpilot_feature": "/sdk/policy-generator", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-065", "title": "Kinderdaten besonders schuetzen (Art. 8)", "description": "Bei Angebot von Diensten der Informationsgesellschaft an Kinder: Einwilligung ab 16 Jahre (DE), darunter Einwilligung/Genehmigung der Eltern.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_children_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 8", "title": "Einwilligung eines Kindes", "erwaegungsgrund": "EG 38" } ], "sources": [ { "type": "article", "ref": "Art. 8 DSGVO" }, { "type": "erwaegungsgrund", "ref": "EG 38" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Vor Datenerhebung von Kindern" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Altersverifikation implementiert", "required": true }, { "name": "Eltern-Einwilligungsprozess", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.02", "TOM.AC.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-066", "title": "Finanzdaten angemessen schuetzen", "description": "Verarbeitung von Finanzdaten (Kontonummern, Kreditkarten, Gehalt) erfordert besondere Schutzmassnahmen inkl. Verschluesselung und Zugriffsbeschraenkung.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_financial_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 32", "title": "Sicherheit der Verarbeitung", "erwaegungsgrund": "EG 83" } ], "sources": [ { "type": "article", "ref": "Art. 32 DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Schutzkonzept Finanzdaten", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.CRYPTO.01", "TOM.CRYPTO.02", "TOM.AC.01", "TOM.LOG.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-067", "title": "Biometrische Daten besonders schuetzen", "description": "Verarbeitung biometrischer Daten zur eindeutigen Identifizierung unterliegt dem Verbot des Art. 9 — Ausnahme nur bei ausdruecklicher Einwilligung oder gesetzlicher Grundlage.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_biometric_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 9", "title": "Besondere Kategorien", "erwaegungsgrund": "EG 51-56" } ], "sources": [ { "type": "article", "ref": "Art. 9 DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Biometrie-Schutzkonzept", "required": true }, { "name": "Einwilligungsnachweis", "required": true } ], "priority": "kritisch", "tom_control_ids": [ "TOM.CRYPTO.01", "TOM.AC.01", "TOM.LOG.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-068", "title": "Aufbewahrungsfristen dokumentieren", "description": "Fuer jede Datenkategorie muessen die Aufbewahrungsfristen dokumentiert und begruendet sein.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 5 Abs. 1 lit. e", "title": "Speicherbegrenzung", "erwaegungsgrund": "EG 39" }, { "norm": "DSGVO", "article": "Art. 13 Abs. 2 lit. a", "title": "Speicherdauer Informationspflicht" } ], "sources": [ { "type": "article", "ref": "Art. 5 Abs. 1 lit. e DSGVO" } ], "category": "Dokumentation", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Aufbewahrungsfristenverzeichnis", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.DATA.01", "TOM.DATA.02" ], "breakpilot_feature": "/sdk/loeschfristen", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-069", "title": "Interne Dokumentation von Datenpannen", "description": "Alle Datenschutzverletzungen (auch nicht meldepflichtige) intern dokumentieren mit Fakten, Auswirkungen und ergriffenen Abhilfemassnahmen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 33 Abs. 5", "title": "Dokumentation Datenpannen", "erwaegungsgrund": "EG 87" } ], "sources": [ { "type": "article", "ref": "Art. 33 Abs. 5 DSGVO" } ], "category": "Dokumentation", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Nach jeder Datenpanne" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Datenpannen-Register", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.OPS.01", "TOM.OPS.02", "TOM.LOG.01" ], "breakpilot_feature": "/sdk/incident-response", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-070", "title": "Zugriffsprotokolle fuehren", "description": "Protokollierung aller Zugriffe auf personenbezogene Daten zur Nachvollziehbarkeit und Missbrauchserkennung.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 5 Abs. 2", "title": "Rechenschaftspflicht", "erwaegungsgrund": "EG 74" } ], "sources": [ { "type": "article", "ref": "Art. 5 Abs. 2 DSGVO" }, { "type": "article", "ref": "Art. 32 DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Zugriffsprotokollierung aktiv", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.LOG.01", "TOM.LOG.02" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-071", "title": "Regelmaessige Risikobewertung durchfuehren", "description": "Regelmaessige Bewertung der mit der Verarbeitung verbundenen Risiken fuer die Rechte und Freiheiten natuerlicher Personen.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 24 Abs. 1", "title": "Risikobewertung", "erwaegungsgrund": "EG 74-77" } ], "sources": [ { "type": "article", "ref": "Art. 24 Abs. 1 DSGVO" } ], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "jaehrlich" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Risikobewertungsbericht", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.01", "TOM.GOV.03" ], "breakpilot_feature": "/sdk/risk-assessment", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-072", "title": "Zusammenarbeit mit Aufsichtsbehoerde (Art. 31)", "description": "Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehoerde zusammen.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 31", "title": "Zusammenarbeit mit Aufsichtsbehoerde", "erwaegungsgrund": "EG 82" } ], "sources": [ { "type": "article", "ref": "Art. 31 DSGVO" } ], "category": "Compliance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "event", "trigger": "Auf Anfrage" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Kooperationsprozess dokumentiert", "required": false } ], "priority": "mittel", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-073", "title": "Beschwerderecht informieren (Art. 77)", "description": "Betroffene Personen ueber ihr Recht auf Beschwerde bei einer Aufsichtsbehoerde informieren.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.is_controller", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 77", "title": "Recht auf Beschwerde", "erwaegungsgrund": "EG 141" } ], "sources": [ { "type": "article", "ref": "Art. 77 DSGVO" } ], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Beschwerdehinweis in Datenschutzerklaerung", "required": true } ], "priority": "mittel", "tom_control_ids": [ "TOM.GOV.02" ], "breakpilot_feature": "/sdk/policy-generator", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-074", "title": "Haftung und Schadenersatz beachten (Art. 82)", "description": "Bei Verstoessen gegen die DSGVO: Recht der betroffenen Person auf Schadenersatz (materiell und immateriell).", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 82", "title": "Recht auf Schadenersatz", "erwaegungsgrund": "EG 146-147" } ], "sources": [ { "type": "article", "ref": "Art. 82 DSGVO" } ], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "Zivilrechtlicher Schadenersatz" }, "evidence": [ { "name": "Haftungsrisiko-Bewertung", "required": false } ], "priority": "mittel", "tom_control_ids": [ "TOM.GOV.01" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-075", "title": "Datenschutz-Audit durchfuehren", "description": "Regelmaessige interne oder externe Audits zur Ueberpruefung der Datenschutz-Compliance.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 5 Abs. 2", "title": "Rechenschaftspflicht", "erwaegungsgrund": "EG 74" } ], "sources": [ { "type": "article", "ref": "Art. 5 Abs. 2 DSGVO" } ], "category": "Audit", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "jaehrlich" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Audit-Bericht", "required": true }, { "name": "Massnahmenplan", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.03", "TOM.OPS.03" ], "breakpilot_feature": "/sdk/audit", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-076", "title": "Datensicherung implementieren", "description": "Regelmaessige Datensicherung (Backup) personenbezogener Daten mit Wiederherstellungstests.", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 32 Abs. 1 lit. c", "title": "Wiederherstellbarkeit", "erwaegungsgrund": "EG 83" } ], "sources": [ { "type": "article", "ref": "Art. 32 Abs. 1 lit. c DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "taeglich" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Backup-Konzept", "required": true }, { "name": "Wiederherstellungstests", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.BCP.01", "TOM.BCP.02" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-077", "title": "Netzwerksicherheit gewaehrleisten", "description": "Schutz der Netzwerke, ueber die personenbezogene Daten uebertragen werden (Firewalls, IDS/IPS, Segmentierung).", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 32", "title": "Sicherheit der Verarbeitung", "erwaegungsgrund": "EG 83" } ], "sources": [ { "type": "article", "ref": "Art. 32 DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Netzwerksicherheitskonzept", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.NET.01", "TOM.NET.02", "TOM.NET.03" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-078", "title": "Physische Zutrittskontrolle", "description": "Schutz der Raeumlichkeiten, in denen personenbezogene Daten verarbeitet werden (Zutrittskontrolle, Serverraeume).", "applies_when": "always", "applies_when_condition": { "all_of": [ { "field": "data_protection.processes_personal_data", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 32", "title": "Sicherheit der Verarbeitung", "erwaegungsgrund": "EG 83" } ], "sources": [ { "type": "article", "ref": "Art. 32 DSGVO" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "10 Mio. EUR oder 2% Jahresumsatz" }, "evidence": [ { "name": "Zutrittskontrollkonzept", "required": true } ], "priority": "mittel", "tom_control_ids": [ "TOM.AC.01", "TOM.AC.02" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-079", "title": "Tracking-Technologien absichern", "description": "Einsatz von Tracking und Analyse-Tools nur mit gultiger Einwilligung. Transparente Information ueber Art und Umfang des Trackings.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.uses_tracking", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 6 Abs. 1 lit. a", "title": "Einwilligung", "erwaegungsgrund": "EG 32" }, { "norm": "TTDSG", "article": "§ 25", "title": "Endeinrichtungen" } ], "sources": [ { "type": "article", "ref": "Art. 6 Abs. 1 lit. a DSGVO" }, { "type": "article", "ref": "§ 25 TTDSG" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "event", "trigger": "Vor Tracking-Einsatz" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Tracking-Einwilligung eingeholt", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.GOV.02", "TOM.DATA.01" ], "breakpilot_feature": "/sdk/cookie-banner", "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" }, { "id": "DSGVO-OBL-080", "title": "Videoueberwachung datenschutzkonform gestalten", "description": "Videoueberwachung nur mit Rechtsgrundlage, Beschilderung, Speicherfristenbegrenzung und Zugriffskontrolle.", "applies_when": "controller", "applies_when_condition": { "all_of": [ { "field": "data_protection.uses_video_surveillance", "operator": "EQUALS", "value": true } ] }, "legal_basis": [ { "norm": "DSGVO", "article": "Art. 6 Abs. 1 lit. f", "title": "Berechtigtes Interesse", "erwaegungsgrund": "EG 47" }, { "norm": "BDSG", "article": "§ 4", "title": "Videoueberwachung" } ], "sources": [ { "type": "article", "ref": "Art. 6 Abs. 1 lit. f DSGVO" }, { "type": "article", "ref": "§ 4 BDSG" } ], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "event", "trigger": "Vor Ueberwachungsbeginn" }, "sanctions": { "max_fine": "20 Mio. EUR oder 4% Jahresumsatz" }, "evidence": [ { "name": "Videoueberwachungskonzept", "required": true }, { "name": "Hinweisbeschilderung", "required": true } ], "priority": "hoch", "tom_control_ids": [ "TOM.AC.01", "TOM.LOG.01", "TOM.DATA.02" ], "breakpilot_feature": null, "valid_from": "2018-05-25", "valid_until": null, "version": "1.0" } ], "controls": [ { "id": "DSGVO-CTRL-001", "name": "Consent-Management-System", "description": "Implementierung eines Systems zur Verwaltung von Einwilligungen", "category": "Technisch", "what_to_do": "Implementierung einer CMP mit Protokollierung, Widerrufsmoeglichkeit und Nachweis", "priority": "hoch" }, { "id": "DSGVO-CTRL-002", "name": "Verschluesselung personenbezogener Daten", "description": "Verschluesselung ruhender und uebertragener Daten", "category": "Technisch", "what_to_do": "TLS 1.3 fuer Uebertragung, AES-256 fuer Speicherung, Key-Management", "priority": "hoch" }, { "id": "DSGVO-CTRL-003", "name": "Zugriffskontrolle", "description": "Need-to-know-Prinzip fuer Zugriff auf personenbezogene Daten", "category": "Organisatorisch", "what_to_do": "RBAC, regelmaessige Berechtigungspruefung, Zugriffsprotokollierung", "priority": "hoch" }, { "id": "DSGVO-CTRL-004", "name": "Pseudonymisierung/Anonymisierung", "description": "Pseudonymisierung wo moeglich, Anonymisierung fuer Analysen", "category": "Technisch", "what_to_do": "Pseudonymisierungsverfahren, getrennte Zuordnungstabellen", "priority": "mittel" }, { "id": "DSGVO-CTRL-005", "name": "Datenschutz-Schulungen", "description": "Regelmaessige Schulung aller Mitarbeiter", "category": "Organisatorisch", "what_to_do": "Jaehrliche Pflichtschulungen, Awareness, dokumentierte Nachweise", "priority": "mittel" }, { "id": "DSGVO-CTRL-006", "name": "Loeschkonzept", "description": "Automatisierte Loeschroutinen mit definierten Fristen", "category": "Technisch", "what_to_do": "Loeschfristen pro Datenkategorie, automatisierte Umsetzung, Protokollierung", "priority": "hoch" }, { "id": "DSGVO-CTRL-007", "name": "Datenschutz-Folgenabschaetzung Prozess", "description": "Standardisierter DSFA-Prozess fuer Hochrisiko-Verarbeitungen", "category": "Governance", "what_to_do": "DSFA-Template, Risikomatrix, DSB-Stellungnahme, Massnahmenplan", "priority": "hoch" } ], "incident_deadlines": [ { "phase": "Meldung an Aufsichtsbehoerde", "deadline": "72 Stunden", "content": "Meldung bei Verletzung des Schutzes personenbezogener Daten, es sei denn voraussichtlich kein Risiko. Inhalt: Art der Verletzung, Kategorien/Anzahl Betroffener, Kontakt DSB, Folgen, ergriffene Massnahmen.", "recipient": "Zustaendige Datenschutz-Aufsichtsbehoerde", "legal_basis": [ { "norm": "Art. 33 DSGVO" } ] }, { "phase": "Benachrichtigung Betroffener", "deadline": "unverzueglich", "content": "Wenn hohes Risiko fuer Rechte und Freiheiten. In klarer und einfacher Sprache: Art der Verletzung, Kontakt DSB, wahrscheinliche Folgen, ergriffene Abhilfemassnahmen.", "recipient": "Betroffene Personen", "legal_basis": [ { "norm": "Art. 34 DSGVO" } ] } ] }