""" DSE (Datenschutzinformation) checks — Art. 13/14 DSGVO. Level 1: Pflichtangabe erwaehnt? Level 2: Pflichtangabe korrekt/vollstaendig? """ ART13_CHECKLIST = [ # ── L1: Verantwortlicher ────────────────────────────────────────── { "id": "controller", "label": "Verantwortlicher (Art. 13(1)(a))", "level": 1, "parent": None, "patterns": [ r"verantwortlich\w*\s+(?:ist|im sinne|fuer|f(?:ue|ü)r)", r"kontaktdaten\s+des\s+verantwortlichen", r"name\s+(?:und|&)\s+kontaktdaten\s+des", r"controller", r"verantwortliche\s+stelle", r"responsible\s+(?:party|for)", ], "severity": "HIGH", "hint": "Art. 13(1)(a) DSGVO verlangt vollstaendige Identifizierung: Firmenname mit Rechtsform (z.B. 'Muster GmbH'), ladungsfaehige Anschrift, E-Mail und Telefon. Haeufiger Fehler: Nur Markenname ohne Rechtsform — das genuegt nicht zur Zustellung.", }, { "id": "controller_address", "label": "Vollstaendige Anschrift (PLZ + Ort)", "level": 2, "parent": "controller", "patterns": [ r"(?:d[\-\s]?)?\d{5}\s+[a-z\u00c0-\u017e]\w{2,}", r"[a-z\u00c0-\u017e]\w+(?:str|stra(?:ss|ß)e|weg|platz|allee|gasse|ring|damm)\s*\.?\s*\d", ], "severity": "MEDIUM", "hint": "Erforderlich ist eine ladungsfaehige Anschrift (Strasse, Hausnummer, PLZ, Ort). Haeufiger Fehler: Postfach oder c/o-Adresse — beides genuegt laut BGH (I ZR 228/03) nicht fuer die Zustellung.", }, { "id": "controller_email", "label": "E-Mail-Adresse des Verantwortlichen", "level": 2, "parent": "controller", "patterns": [ r"[a-z0-9._%+\-]+@[a-z0-9.\-]+\.[a-z]{2,}", ], "severity": "MEDIUM", "hint": "Ohne E-Mail-Adresse koennen Betroffene ihre Rechte (Art. 15-21 DSGVO) nicht niedrigschwellig ausueben. Haeufiger Fehler: Nur Kontaktformular statt E-Mail — ein Formular allein genuegt nicht als unmittelbarer Kommunikationskanal.", }, { "id": "controller_phone", "label": "Telefonnummer des Verantwortlichen", "level": 2, "parent": "controller", "patterns": [ r"(?:tel(?:efon)?|phone|fon)\s*[.:]\s*[\+\d][\d\s/\-]{6,}", r"\+49\s*[\d\s/\-]{8,}", ], "severity": "MEDIUM", "hint": "EuGH (C-298/17, 'Verein fuer Konsumenteninformation') verlangt effektive Kontaktmoeglichkeit. Telefon ist nicht zwingend, aber empfohlen — fehlt sie, muss ein gleichwertiger Kanal (z.B. Chat, Rueckruf) angeboten werden.", }, # ── L1: Datenschutzbeauftragter ─────────────────────────────────── { "id": "dpo", "label": "Datenschutzbeauftragter (Art. 13(1)(b))", "level": 1, "parent": None, "patterns": [ r"datenschutzbeauftragt", r"data\s+protection\s+officer", r"kontaktdaten\s+de[rs]\s+(?:beh(?:oe|ö)rdlichen\s+)?datenschutz", r"dsb", r"dpo", ], "severity": "MEDIUM", "hint": "DSB-Benennungspflicht besteht ab 20 Personen regelmaessig mit automatisierter Datenverarbeitung (§38 BDSG) oder bei Kerntaetigkeit in Ueberwachung/sensiblen Daten (Art. 37 DSGVO). Haeufiger Fehler: DSB bestellt, aber nicht in der DSE erwaehnt.", }, { "id": "dpo_contact", "label": "Kontaktdaten des DSB (E-Mail oder Telefon)", "level": 2, "parent": "dpo", "patterns": [ r"datenschutz(?:beauftragter?|beauftragte).*?[a-z0-9._%+\-]+@", r"dsb.*?@|dpo.*?@", r"datenschutz@", ], "severity": "MEDIUM", "hint": "Art. 37(7) DSGVO verlangt Veroeffentlichung der Kontaktdaten des DSB. Mindestens eine E-Mail ist noetig — den Namen muessen Sie nicht nennen. Haeufiger Fehler: DSB wird erwaehnt, aber ohne jede Kontaktmoeglichkeit.", }, # ── L1: Zwecke der Verarbeitung ─────────────────────────────────── { "id": "purposes", "label": "Zwecke der Verarbeitung (Art. 13(1)(c))", "level": 1, "parent": None, "patterns": [ r"zweck\w*\s+(?:der|und|die)\s+(?:verarbeitung|datenerhebung|datenverarbeitung|rechtsgrundlage)", r"purpose\w*\s+(?:of|for)\s+(?:processing|data)", r"zu\s+welch\w+\s+zweck", r"welche\s+daten\s+werden.*verarbeitet", r"daten\s+werden\s+(?:zu|fuer|für)\s+(?:folgende|diese)", ], "severity": "HIGH", "hint": "Art. 13(1)(c) verlangt konkrete Zweckangaben — nicht nur 'Wir verarbeiten Ihre Daten'. Jeder Dienst braucht einen eigenen Zweck: z.B. 'Webanalyse via Matomo', 'Newsletter-Versand', 'Kontaktanfragen'. Pauschalformulierungen verstiessen laut DSK gegen den Transparenzgrundsatz (Art. 5(1)(a)).", }, { "id": "purposes_specific", "label": "Konkrete Zwecke benannt (min. 2)", "level": 2, "parent": "purposes", "patterns": [ r"(?:kontaktaufnahme|vertragserfuellung|vertragserf(?:ue|ü)llung|newsletter|analyse|statistik|werbung|marketing|bewerbung|bestellabwicklung|kundenkonto)", r"(?:bereitstellung|betrieb|sicherheit|optimierung)\s+(?:der|des|unserer|unseres)", ], "severity": "LOW", "hint": "Mindestens 2 konkrete Zwecke benennen, jeweils mit zugehoeriger Rechtsgrundlage. Beispiel: 'Vertragsabwicklung (Art. 6(1)(b))', 'Website-Analyse (Art. 6(1)(f))'. Einzelne Pauschalangabe genuegt nicht dem Bestimmtheitsgrundsatz.", }, # ── L1: Rechtsgrundlage ─────────────────────────────────────────── { "id": "legal_basis", "label": "Rechtsgrundlage (Art. 13(1)(c))", "level": 1, "parent": None, "patterns": [ r"rechtsgrundlage", r"art\.\s*6\s*(?:abs|absatz)?\s*\.?\s*1", r"legal\s+basis", r"berechtigtes\s+interesse", r"auf\s+grundlage\s+(?:von|des|der)\s+(?:art|§)", r"lit\.\s*[a-f][\s\)]", r"gem(?:ae|ä)(?:ss|ß)\s+art", r"§\s*\d+\s+(?:abs|ihkg|bdsg|ldsg|bbig|tdddg)", r"einwilligung\s+gem", ], "severity": "HIGH", "hint": "Jeder Verarbeitungszweck braucht eine eigene Rechtsgrundlage aus Art. 6(1) DSGVO (lit. a-f). Haeufiger Fehler: 'berechtigtes Interesse' als Auffangtatbestand fuer alles — das ist unzulaessig. Cookies/Tracking erfordern i.d.R. Einwilligung (lit. a), nicht lit. f.", }, { "id": "legal_basis_consent_6a", "label": "Art. 6(1)(a) — Einwilligung", "level": 2, "parent": "legal_basis", "patterns": [ r"art\.\s*6\s*(?:abs\.\s*)?1\s*(?:s\.\s*1\s*)?(?:lit\.\s*)?a", r"einwilligung\s+(?:gem|nach|i\.?\s*s\.?\s*d\.?)", ], "severity": "LOW", "hint": "Bei Einwilligung (Art. 6(1)(a)) muss zwingend auf das jederzeitige Widerrufsrecht hingewiesen werden (Art. 7(3) DSGVO). Haeufiger Fehler: Widerruf wird erwaehnt, aber ohne konkreten Weg (z.B. Link, E-Mail-Adresse, Abmeldelink).", }, { "id": "legal_basis_contract_6b", "label": "Art. 6(1)(b) — Vertragserfullung", "level": 2, "parent": "legal_basis", "patterns": [ r"art\.\s*6\s*(?:abs\.\s*)?1\s*(?:s\.\s*1\s*)?(?:lit\.\s*)?b", r"vertragserf(?:ue|ü)llung", r"durchf(?:ue|ü)hrung\s+(?:eines|des|vorvertragliche)", ], "severity": "LOW", "hint": "Art. 6(1)(b) gilt nur fuer Daten, die zur Vertragsdurchfuehrung objektiv erforderlich sind. Haeufiger Fehler: Tracking/Werbung auf lit. b stuetzen — laut EDSA (Guidelines 2/2019) ist das unzulaessig. Solche Zwecke erfordern lit. a oder lit. f.", }, { "id": "legal_basis_interest_6f", "label": "Art. 6(1)(f) — Berechtigtes Interesse", "level": 2, "parent": "legal_basis", "patterns": [ r"art\.\s*6\s*(?:abs\.\s*)?1\s*(?:s\.\s*1\s*)?(?:lit\.\s*)?f", r"berechtigte[sn]?\s+interesse", ], "severity": "LOW", "hint": "Bei Art. 6(1)(f) muss das konkrete Interesse benannt werden — 'berechtigtes Interesse' allein genuegt nicht. Beispiele: 'IT-Sicherheit', 'Betrugspraevention', 'Direktwerbung (ErwGr. 47)'. Ohne Benennung ist die Angabe intransparent.", }, { "id": "legal_basis_balancing", "label": "Interessenabwaegung dokumentiert", "level": 2, "parent": "legal_basis", "patterns": [ r"interessenabw(?:ae|ä)gung", r"(?:ueberwiegen|überwiegen).*interesse", r"abw(?:ae|ä)gung.*(?:recht|interesse|freiheit)", ], "severity": "LOW", "hint": "Art. 6(1)(f) erfordert eine dokumentierte Interessenabwaegung. Beschreiben Sie: (1) das konkrete Interesse, (2) warum es die Grundrechte der Betroffenen ueberwiegt, (3) welche Schutzmassnahmen bestehen. Fehlende Abwaegung ist ein haeufiger Bussgeldgrund.", }, # ── L1: Empfaenger ──────────────────────────────────────────────── { "id": "recipients", "label": "Empfaenger (Art. 13(1)(e))", "level": 1, "parent": None, "patterns": [ r"empf(?:ae|ä)nger", r"(?:ueber|über|weiter)mitt(?:el|l)ung", r"recipient", r"weitergabe\s+(?:an|von)\s+daten", r"dritte", r"third\s+part", r"auftragsverarbeit", ], "severity": "MEDIUM", "hint": "Art. 13(1)(e) verlangt Benennung der Empfaenger oder Empfaenger-Kategorien. Haeufiger Fehler: Google Analytics, Meta Pixel o.ae. werden eingebunden, aber nicht als Empfaenger genannt. Jeder Drittdienst mit Datenzugang muss erwaehnt werden.", }, { "id": "recipients_categories", "label": "Konkrete Empfaenger-Kategorien benannt", "level": 2, "parent": "recipients", "patterns": [ r"(?:hosting|server|cloud|payment|zahlungs|versand|logistik|steuerberater|buchhalter|newsletter|crm|erp)", r"(?:dienstleister|auftragnehmer|subunternehmer).*(?:fuer|für|im bereich)", ], "severity": "LOW", "hint": "'An Dritte' oder 'an Dienstleister' ist zu unbestimmt. Nennen Sie Kategorien: z.B. 'Hosting (Hetzner)', 'Zahlungsabwicklung (Stripe)', 'E-Mail-Versand (Mailchimp)'. EuGH (C-154/21, 'RW') fordert moeglichst konkrete Benennung.", }, { "id": "recipients_processor", "label": "Auftragsverarbeiter erwaehnt", "level": 2, "parent": "recipients", "patterns": [ r"auftragsverarbeit(?:er|ung)", r"art\.\s*28", r"avv|av-vertrag|auftragsverarbeitungsvertrag", ], "severity": "LOW", "hint": "Jeder Auftragsverarbeiter (Cloud-Hosting, Newsletter-Tool, CRM) erfordert einen AVV nach Art. 28 DSGVO. Erwaehnen Sie, dass AVVs abgeschlossen sind. Haeufiger Fehler: SaaS-Dienste (Mailchimp, HubSpot) ohne AVV einsetzen — das ist ein eigener DSGVO-Verstoss.", }, # ── L1: Drittlandtransfer ───────────────────────────────────────── { "id": "third_country", "label": "Drittlandtransfer (Art. 13(1)(f))", "level": 1, "parent": None, "patterns": [ r"drittland", r"dritt\s*staat", r"drittl(?:ae|ä)nder", r"third\s+countr", r"angemessenheitsbeschluss", r"standard\s*vertragsklausel", r"scc", r"(?:ueber|über)mittlung.*(?:ausserhalb|außerhalb)", r"(?:europ(?:ae|ä)ischen\s+wirtschaftsraum|ewr|eea)", r"privacy\s+shield", r"data\s+privacy\s+framework", ], "severity": "MEDIUM", "hint": "Art. 13(1)(f) DSGVO: Bei jedem Drittlandtransfer muessen Empfaengerland und Schutzgarantien genannt werden. Pruefen Sie: Google Fonts, reCAPTCHA, YouTube-Embeds, CDNs — all das sind USA-Transfers. Fehlende Angabe war Grundlage zahlreicher DSGVO-Bussgelder.", }, { "id": "third_country_mechanism", "label": "Transfermechanismus benannt (SCC/DPF/Angemessenheit)", "level": 2, "parent": "third_country", "patterns": [ r"standard\s*vertragsklausel|scc|standard\s+contractual", r"data\s+privacy\s+framework|dpf", r"angemessenheitsbeschluss|adequacy\s+decision", r"art\.\s*4[5-9]", ], "severity": "MEDIUM", "hint": "Bei Drittlandtransfers muss der konkrete Schutzmechanismus benannt werden. Hinweis: Das EU-US Privacy Shield ist seit dem EuGH-Urteil 'Schrems II' (Juli 2020) ungueltig. Aktualisieren Sie auf: EU-US Data Privacy Framework/DPF (Angemessenheitsbeschluss seit Juli 2023) oder Standardvertragsklauseln/SCC (Art. 46(2)(c) DSGVO).", }, # ── L1: Speicherdauer ───────────────────────────────────────────── { "id": "retention", "label": "Speicherdauer (Art. 13(2)(a))", "level": 1, "parent": None, "patterns": [ r"speicherdauer", r"aufbewahrungsfrist", r"(?:wie\s+lange|dauer)\s+(?:der\s+)?(?:werden|gespeicher|speicherung)", r"retention\s+period", r"l(?:oe|ö)sch(?:ung|frist|konzept)", r"daten\s+werden\s+gel(?:oe|ö)scht", r"(?:\d+\s+(?:tage|monate|jahre)|nach\s+\d+\s+(?:tag|monat|jahr))", r"dauer\s+der\s+speicherung", r"aufbewahrung(?:sdauer|spflicht|szeit)", r"gesetzliche.*aufbewahrung", ], "severity": "HIGH", "hint": "Art. 13(2)(a) verlangt Speicherdauer ODER Kriterien zur Festlegung. 'So lange wie noetig' genuegt nicht. Nennen Sie gesetzliche Fristen: 6 Jahre Handelsrecht (§257 HGB), 10 Jahre Steuerrecht (§147 AO), oder eigene Fristen pro Zweck.", }, { "id": "retention_periods", "label": "Konkrete Zeitangaben (Tage/Monate/Jahre)", "level": 2, "parent": "retention", "patterns": [ r"\d+\s+(?:tage?|monate?|jahre?|days?|months?|years?)", r"(?:6|10)\s+jahre.*(?:handels|steuer|hgb|ao)", r"(?:nach|innerhalb)\s+(?:von\s+)?\d+\s+(?:tag|monat|jahr)", ], "severity": "MEDIUM", "hint": "Konkrete Fristen pro Datenkategorie nennen: Logfiles 7-30 Tage, Rechnungen 10 Jahre (§147 AO), Bewerbungen 6 Monate (AGG-Frist), Newsletter-Daten bis Widerruf. Haeufiger Fehler: Nur eine pauschale Frist fuer alle Datenarten.", }, { "id": "retention_deletion", "label": "Loeschkonzept/-prozess beschrieben", "level": 2, "parent": "retention", "patterns": [ r"l(?:oe|ö)schkonzept", r"l(?:oe|ö)schfrist", r"(?:regel|routinem(?:ae|ä)(?:ss|ß)ig).*l(?:oe|ö)sch", r"nach\s+(?:ablauf|wegfall).*(?:gel(?:oe|ö)scht|l(?:oe|ö)sch)", ], "severity": "LOW", "hint": "Art. 5(1)(e) DSGVO (Speicherbegrenzung) erfordert ein Loeschkonzept. Beschreiben Sie den Prozess: automatische Loeschung nach Fristablauf, regelmaessige Pruefzyklen, oder Verweis auf DIN 66398 (Loeschkonzept). Reine Archivierung ohne Loeschfrist genuegt nicht.", }, # ── L1: Betroffenenrechte ───────────────────────────────────────── { "id": "rights", "label": "Betroffenenrechte (Art. 13(2)(b))", "level": 1, "parent": None, "patterns": [ r"recht\s+auf\s+auskunft", r"recht\s+auf\s+l(?:oe|ö)schung", r"recht\s+auf\s+berichtigung", r"widerspruchsrecht", r"art\.\s*1[5-9]", r"art\.\s*2[0-2]", r"right\s+to\s+(?:access|erasure|rectification|object)", r"betroffenenrecht", r"rechte\s+(?:des|der)\s+betroffenen", r"ihnen\s+(?:stehen|steht)\s+(?:ein|folgende)\s+recht", ], "severity": "HIGH", "hint": "Art. 13(2)(b)-(d) verlangt Nennung ALLER Betroffenenrechte: Auskunft (Art. 15), Berichtigung (16), Loeschung (17), Einschraenkung (18), Portabilitaet (20), Widerspruch (21). Haeufiger Fehler: Art. 18 (Einschraenkung) oder Art. 20 (Portabilitaet) fehlen.", }, { "id": "rights_art15", "label": "Recht auf Auskunft (Art. 15)", "level": 2, "parent": "rights", "patterns": [r"art\.\s*15", r"recht\s+auf\s+auskunft", r"right\s+(?:of|to)\s+access"], "severity": "LOW", "hint": "Art. 15 DSGVO: Betroffene koennen kostenlos Auskunft und eine Kopie aller Daten verlangen. Antwortfrist: 1 Monat (Art. 12(3)). Haeufiger Fehler: Kein Hinweis auf Kostenfreiheit oder den konkreten Anfrageweg (E-Mail-Adresse).", }, { "id": "rights_art16", "label": "Recht auf Berichtigung (Art. 16)", "level": 2, "parent": "rights", "patterns": [r"art\.\s*16", r"recht\s+auf\s+berichtigung", r"right\s+to\s+rectification"], "severity": "LOW", "hint": "Art. 16 DSGVO: Betroffene koennen Berichtigung unrichtiger Daten und Vervollstaendigung unvollstaendiger Daten verlangen. Nennen Sie den konkreten Weg zur Geltendmachung (z.B. E-Mail an datenschutz@...).", }, { "id": "rights_art17", "label": "Recht auf Loeschung (Art. 17)", "level": 2, "parent": "rights", "patterns": [r"art\.\s*17", r"recht\s+auf\s+l(?:oe|ö)schung", r"right\s+to\s+erasure"], "severity": "LOW", "hint": "Art. 17 DSGVO ('Recht auf Vergessenwerden'): Loeschung ist Pflicht, wenn Zweck entfaellt, Einwilligung widerrufen wird oder Daten unrechtmaessig verarbeitet wurden. Erwaehnen Sie auch die Ausnahmen (z.B. gesetzliche Aufbewahrungspflichten §257 HGB, §147 AO).", }, { "id": "rights_art18", "label": "Recht auf Einschraenkung (Art. 18)", "level": 2, "parent": "rights", "patterns": [r"art\.\s*18", r"einschr(?:ae|ä)nkung\s+der\s+verarbeitung", r"right\s+to\s+restriction"], "severity": "LOW", "hint": "Art. 18 DSGVO wird am haeufigsten vergessen. Einschraenkung greift z.B. bei bestrittener Richtigkeit oder laufendem Widerspruch. Konkret nennen: 'Statt Loeschung koennen Sie Einschraenkung der Verarbeitung verlangen (Art. 18 DSGVO).'", }, { "id": "rights_art20", "label": "Recht auf Datenportabilitaet (Art. 20)", "level": 2, "parent": "rights", "patterns": [r"art\.\s*20", r"daten(?:ue|ü)bertragbarkeit|datenportabilit", r"right\s+to\s+data\s+portability"], "severity": "LOW", "hint": "Art. 20 DSGVO: Gilt nur bei Verarbeitung auf Basis von Einwilligung (Art. 6(1)(a)) oder Vertrag (Art. 6(1)(b)) UND automatisierter Verarbeitung. Format: strukturiert, gaengig, maschinenlesbar (z.B. JSON, CSV). Nicht anwendbar bei Art. 6(1)(f).", }, { "id": "rights_art21", "label": "Widerspruchsrecht (Art. 21)", "level": 2, "parent": "rights", "patterns": [r"art\.\s*21", r"widerspruchsrecht", r"right\s+to\s+object"], "severity": "LOW", "hint": "Art. 21(4) DSGVO: Der Widerspruchshinweis muss spaetestens zum Zeitpunkt der ersten Kommunikation GESONDERT und in klarer Sprache erfolgen. Haeufiger Fehler: Widerspruchsrecht nur im Fliesstext versteckt — eigener Abschnitt/Hervorhebung noetig.", }, { "id": "rights_art22_profiling", "label": "Automatisierte Entscheidungen / Profiling (Art. 22)", "level": 2, "parent": "rights", "patterns": [ r"art\.\s*22", r"automatisierte\s+entscheidung", r"profiling", r"automated\s+(?:decision|individual)", ], "severity": "LOW", "hint": "Art. 13(2)(f): Bei automatisierten Einzelentscheidungen muessen Logik, Tragweite und Auswirkungen erklaert werden. Falls kein Profiling stattfindet, explizit verneinen: 'Es findet keine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO statt.'", }, # ── L1: Beschwerderecht ─────────────────────────────────────────── { "id": "complaint", "label": "Beschwerderecht (Art. 13(2)(d))", "level": 1, "parent": None, "patterns": [ r"beschwerderecht", r"aufsichtsbeh(?:oe|ö)rde", r"right\s+to\s+lodge\s+a\s+complaint", r"supervisory\s+authority", r"datenschutzbeh(?:oe|ö)rde", r"recht\s+auf\s+beschwerde", r"art\.\s*77", r"beschwerde.*(?:wenden|einlegen|erheben)", r"(?:zust(?:ae|ä)ndige|competent)\s+(?:beh(?:oe|ö)rde|authority)", ], "severity": "MEDIUM", "hint": "Art. 13(2)(d) verlangt einen Hinweis auf das Beschwerderecht bei der Aufsichtsbehoerde (Art. 77 DSGVO). Zustaendig ist die Behoerde am Sitz des Verantwortlichen — z.B. LfDI Baden-Wuerttemberg, BayLDA, oder LfD Niedersachsen. Name und Website angeben.", }, { "id": "complaint_authority_named", "label": "Konkrete Aufsichtsbehoerde benannt", "level": 2, "parent": "complaint", "patterns": [ r"(?:landes|l)(?:beauftragt|datenschutz).*(?:niedersachsen|bayern|nrw|nordrhein|hessen|baden|schleswig|brandenburg|sachsen|berlin|hamburg|bremen|thueringen|thüringen|saarland|rheinland|mecklenburg)", r"l(?:an)?fdi\s+\w+", r"bfdi", r"(?:bayerische|hessische|s(?:ae|ä)chsische|berliner)\s+(?:datenschutz|aufsicht)", ], "severity": "LOW", "hint": "Vollstaendigen Namen, Adresse und Website der Aufsichtsbehoerde angeben. Haeufiger Fehler: 'die zustaendige Aufsichtsbehoerde' ohne Konkretisierung. Korrekt z.B.: 'LfDI BW, Koenigstrasse 10a, 70173 Stuttgart, www.baden-wuerttemberg.datenschutz.de'.", }, ]