# Dokumentengenerierung aus Stammdaten

Basierend auf dem Unternehmensprofil (Stammdaten) koennen Compliance-Dokumente automatisch als Entwuerfe generiert werden. Die Generierung erzeugt Change-Requests, KEINE direkten Dokumente — alles muss ueber die CR-Inbox reviewed werden.

## Workflow

```mermaid
graph LR
    A[Stammdaten] --> B[Template-Engine]
    B --> C[Draft-Dokumente]
    C --> D[Change-Requests]
    D --> E[CR-Inbox Review]
    E --> F[Finales Dokument]
```

## API-Endpoints

| Methode | Pfad | Beschreibung |
|---------|------|--------------|
| `GET` | `/generation/preview/{doc_type}` | Vorschau ohne DB-Writes |
| `POST` | `/generation/apply/{doc_type}` | Generiert Drafts → erstellt CRs |

### Gueltige Dokumenttypen

`dsfa`, `vvt`, `tom`, `loeschfristen`, `obligation`

## Template-Generatoren

### DSFA (`dsfa_template.py`)
- Erstellt DSFA-Skeleton basierend auf Firmenprofil
- Wenn KI-Systeme vorhanden: `risk_level = high`, AI-Sections befuellt
- DPO-Name und Aufsichtsbehoerde automatisch eingesetzt

### VVT (`vvt_template.py`)
- Ein VVT-Eintrag pro `processing_system`
- US-Cloud-Hosting → automatisch Drittlandtransfer-Eintrag
- Datenkategorien und Rechtsgrundlagen vorausgefuellt

### TOM (`tom_template.py`)
- 8 Basis-TOMs (DSGVO-Standard)
- +3 bei `subject_to_nis2` (Cybersicherheit)
- +3 bei `subject_to_ai_act` (KI-Compliance)
- +3 bei `subject_to_iso27001` (ISMS)

### Loeschfristen (`loeschfristen_template.py`)
- Eine Loeschfrist pro Datenkategorie aus processing_systems
- 10 Standard-Perioden (z.B. Bankdaten → 10 Jahre HGB)
- Unbekannte Kategorien → "Noch festzulegen"
- Deduplizierung bei mehreren Systemen mit gleicher Kategorie

### Pflichten (`obligation_template.py`)
- 8 Basis-DSGVO-Pflichten
- +3 bei AI Act
- +2 bei NIS2

## Stammdaten-Kontext

Der Template-Kontext wird aus `compliance_company_profiles` gelesen und enthaelt:

| Feld | Beschreibung |
|------|--------------|
| `company_name` | Firmenname |
| `dpo_name`, `dpo_email` | Datenschutzbeauftragter |
| `supervisory_authority` | Aufsichtsbehoerde |
| `processing_systems` | IT-Systeme mit pbD |
| `ai_systems` | KI-System-Katalog |
| `subject_to_nis2/ai_act/iso27001` | Regulierungs-Flags |
| `review_cycle_months` | Pruefzyklus |

## Frontend

Im Company-Profile-Wizard erscheint nach Abschluss (`is_complete = true`) ein CTA-Panel "Dokumente generieren":
- Pro Dokumenttyp ein "Generieren"-Button
- Ergebnis: Anzahl erstellter Change-Requests
- Link zur CR-Inbox

## Tests

- 21 Tests in `test_generation_routes.py`
- Alle 5 Template-Generatoren mit verschiedenen Kontext-Variationen
- Regulierungs-Flag-Kombinationen
- Route-Registrierung

---

## Policy-Bibliothek

Neben der automatischen Dokumentengenerierung aus Stammdaten stehen **29 deutsche Richtlinien-Templates**
im Dokumentengenerator als Vorlagen bereit (IT-Sicherheit, Datenschutz, Personal, Lieferanten, BCM).

Siehe [Policy-Bibliothek](policy-bibliothek.md) fuer die vollstaendige Liste aller Templates,
Platzhalter und Kategorien.