{ "regulation": "ttdsg", "regulation_full_name": "Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)", "version": "1.0", "obligations": [ { "id": "TTDSG-OBL-001", "title": "Wahrung des Fernmeldegeheimnisses", "description": "Der Inhalt der Telekommunikation und ihre naeheren Umstaende unterliegen dem Fernmeldegeheimnis. Diensteanbieter sind zur Wahrung verpflichtet.", "applies_when": "organization provides telecommunication services", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 3", "title": "Vertraulichkeit der Kommunikation" }], "sources": [{ "type": "national_law", "ref": "§ 3 TTDSG" }], "category": "Governance", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR", "criminal_liability": true }, "evidence": [{ "name": "Fernmeldegeheimnis-Richtlinie", "required": true }], "priority": "kritisch", "tom_control_ids": ["TOM.CRY.01", "TOM.AC.01"], "breakpilot_feature": null, "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-002", "title": "Technische Schutzmassnahmen Fernmeldegeheimnis", "description": "Diensteanbieter muessen technische Vorkehrungen zum Schutz des Fernmeldegeheimnisses treffen, insbesondere gegen unbefugtes Abhoeren und Mitlesen.", "applies_when": "organization provides telecommunication services", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 4", "title": "Durchsetzung des Fernmeldegeheimnisses" }], "sources": [{ "type": "national_law", "ref": "§ 4 TTDSG" }], "category": "Technisch", "responsible": "IT-Sicherheitsbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Verschluesselungskonzept TK", "required": true }, "Penetrationstest-Bericht"], "priority": "kritisch", "tom_control_ids": ["TOM.CRY.01", "TOM.NET.01"], "breakpilot_feature": "/sdk/tom", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-003", "title": "Bestandsdatenauskunft TK-Dienste", "description": "Bestandsdaten der Teilnehmer duerfen nur erhoben und verwendet werden, soweit dies zur Begruendung, Ausgestaltung oder Aenderung eines Vertragsverhaeltnisses erforderlich ist.", "applies_when": "organization provides telecommunication services with subscriber data", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 7", "title": "Bestandsdaten TK-Anbieter" }], "sources": [{ "type": "national_law", "ref": "§ 7 TTDSG" }], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Bestandsdaten-Verarbeitungskonzept", "required": true }], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.AC.01"], "breakpilot_feature": null, "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-004", "title": "Bestandsdatenauskunft an Behoerden", "description": "Die Erteilung von Auskuenften ueber Bestandsdaten an Sicherheitsbehoerden ist nur unter den Voraussetzungen des § 8 TTDSG zulaessig.", "applies_when": "organization provides telecom and receives authority requests", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 8", "title": "Bestandsdatenauskunft Behoerden" }], "sources": [{ "type": "national_law", "ref": "§ 8 TTDSG" }], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "on_event", "event": "Bei Behoerdenanfrage" }, "sanctions": { "max_fine": "300.000 EUR", "personal_liability": true }, "evidence": [{ "name": "Auskunftserteilungs-Protokoll", "required": true }], "priority": "hoch", "tom_control_ids": ["TOM.GOV.02", "TOM.LOG.01"], "breakpilot_feature": null, "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-005", "title": "Verkehrsdaten — Zweckbindung und Loeschung", "description": "Verkehrsdaten duerfen nur fuer Abrechnungszwecke, Stoerungsbeseitigung und Missbrauchsbekaempfung gespeichert werden und sind nach Zweckerfuellung unverzueglich zu loeschen.", "applies_when": "organization collects traffic data from telecom services", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }, { "field": "data_protection.collects_traffic_data", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 9", "title": "Verkehrsdaten" }], "sources": [{ "type": "national_law", "ref": "§ 9 TTDSG" }], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "on_event", "event": "Nach Rechnungsstellung/Zweckerfuellung" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Loeschkonzept Verkehrsdaten", "required": true }], "priority": "hoch", "tom_control_ids": ["TOM.DEL.01", "TOM.GOV.01"], "breakpilot_feature": "/sdk/loeschfristen", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-006", "title": "Standortdaten — Einwilligung erforderlich", "description": "Standortdaten duerfen nur mit ausdruecklicher Einwilligung des Nutzers verarbeitet werden. Die Einwilligung muss jederzeit widerrufbar sein.", "applies_when": "organization processes location data", "applies_when_condition": { "all_of": [{ "field": "data_protection.processes_location_data", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 10", "title": "Standortdaten" }], "sources": [{ "type": "national_law", "ref": "§ 10 TTDSG" }], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "on_event", "event": "Vor Verarbeitung von Standortdaten" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Einwilligungsnachweis Standortdaten", "required": true }, "Widerrufsmechanismus"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.02"], "breakpilot_feature": "/sdk/consent", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-007", "title": "Anonymisierung von Standortdaten", "description": "Wenn Standortdaten fuer Mehrwertdienste verwendet werden, muessen sie anonymisiert oder pseudonymisiert werden, sofern der Zweck dies erlaubt.", "applies_when": "organization uses location data for value-added services", "applies_when_condition": { "all_of": [{ "field": "data_protection.processes_location_data", "operator": "EQUALS", "value": true }, { "field": "organization.offers_value_added_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 10 Abs. 2", "title": "Standortdaten Mehrwertdienste" }], "sources": [{ "type": "national_law", "ref": "§ 10 TTDSG" }], "category": "Technisch", "responsible": "IT-Sicherheitsbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Anonymisierungskonzept Standortdaten", "required": true }], "priority": "mittel", "tom_control_ids": ["TOM.CRY.02"], "breakpilot_feature": null, "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-008", "title": "Bestandsdaten Telemedien — Erhebung und Verwendung", "description": "Anbieter von Telemedien duerfen Bestandsdaten nur erheben und verwenden, soweit sie fuer die Begruendung, Ausgestaltung oder Aenderung eines Vertragsverhaeltnisses erforderlich sind.", "applies_when": "organization provides telemedia services", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telemedia_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 13", "title": "Bestandsdaten Telemedien" }], "sources": [{ "type": "national_law", "ref": "§ 13 TTDSG" }], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Datenschutzerklaerung Telemedien", "required": true }], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "breakpilot_feature": null, "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-009", "title": "Nutzungsdaten Telemedien — Zweckbindung", "description": "Nutzungsdaten duerfen nur erhoben werden, soweit dies zur Ermogeglichung der Inanspruchnahme von Telemedien erforderlich ist. Profilerstellung bedarf der Einwilligung.", "applies_when": "organization collects telemedia usage data", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telemedia_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 15", "title": "Nutzungsdaten Telemedien" }], "sources": [{ "type": "national_law", "ref": "§ 15 TTDSG" }], "category": "Governance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Nutzungsdaten-Konzept", "required": true }], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.DEL.01"], "breakpilot_feature": null, "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-010", "title": "Vertraulichkeit Nachrichteninhalte", "description": "Anbieter von interpersonellen TK-Diensten muessen die Vertraulichkeit der uebermittelten Nachrichteninhalte gewaehrleisten (§ 19 TTDSG).", "applies_when": "organization provides messaging or communication services", "applies_when_condition": { "all_of": [{ "field": "organization.provides_messaging_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 19", "title": "Nachrichteninhalte" }], "sources": [{ "type": "national_law", "ref": "§ 19 TTDSG" }], "category": "Technisch", "responsible": "IT-Sicherheitsbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR", "criminal_liability": true }, "evidence": [{ "name": "Ende-zu-Ende-Verschluesselungsnachweis", "required": true }], "priority": "kritisch", "tom_control_ids": ["TOM.CRY.01", "TOM.NET.01"], "breakpilot_feature": "/sdk/tom", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-011", "title": "Schutz vor Spam und unerwuenschten Nachrichten", "description": "Anbieter nummernunabhaengiger interpersoneller TK-Dienste muessen Massnahmen gegen unerwuenschte Nachrichten (Spam) ergreifen.", "applies_when": "organization provides interpersonal communication services", "applies_when_condition": { "all_of": [{ "field": "organization.provides_messaging_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 19 Abs. 2", "title": "Spam-Schutz" }], "sources": [{ "type": "national_law", "ref": "§ 19 TTDSG" }], "category": "Technisch", "responsible": "IT-Leitung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Anti-Spam-Massnahmen Dokumentation", "required": true }], "priority": "mittel", "tom_control_ids": ["TOM.NET.01"], "breakpilot_feature": null, "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-012", "title": "Einwilligung fuer Cookies und Tracking", "description": "Die Speicherung von Informationen in der Endeinrichtung des Nutzers oder der Zugriff auf dort gespeicherte Informationen ist nur mit Einwilligung des Nutzers zulaessig (§ 25 Abs. 1 TTDSG).", "applies_when": "organization uses cookies or similar tracking technologies", "applies_when_condition": { "any_of": [{ "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true }, { "field": "data_protection.uses_tracking", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 25 Abs. 1", "title": "Schutz der Privatsphaere bei Endeinrichtungen" }], "sources": [{ "type": "national_law", "ref": "§ 25 TTDSG" }, { "type": "eu_guidance", "ref": "ePrivacy-Richtlinie Art. 5 Abs. 3" }], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "on_event", "event": "Vor Setzen von Cookies/Trackern" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Cookie-Consent-Banner", "required": true }, { "name": "Consent-Management-Platform Nachweis", "required": true }], "priority": "kritisch", "tom_control_ids": ["TOM.GOV.02", "TOM.WEB.01"], "breakpilot_feature": "/sdk/cookie-banner", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-013", "title": "Ausnahmen von der Cookie-Einwilligung", "description": "Keine Einwilligung ist erforderlich, wenn die Speicherung/der Zugriff technisch erforderlich ist, um den vom Nutzer ausdruecklich gewuenschten Dienst bereitzustellen (§ 25 Abs. 2 TTDSG).", "applies_when": "organization uses technically necessary cookies", "applies_when_condition": { "all_of": [{ "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 25 Abs. 2", "title": "Ausnahme technisch notwendige Cookies" }], "sources": [{ "type": "national_law", "ref": "§ 25 Abs. 2 TTDSG" }, { "type": "dsk_kurzpapier", "ref": "DSK Orientierungshilfe Telemedien 2021" }], "category": "Dokumentation", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "jaehrlich" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Cookie-Klassifizierung (notwendig vs. optional)", "required": true }], "priority": "hoch", "tom_control_ids": ["TOM.WEB.01"], "breakpilot_feature": "/sdk/cookie-banner", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-014", "title": "Cookie-Consent Anforderungen — Informiertheit", "description": "Die Einwilligung nach § 25 Abs. 1 TTDSG muss informiert erfolgen. Der Nutzer muss klar und umfassend ueber Zweck, Dauer und Empfaenger informiert werden.", "applies_when": "organization collects cookie consent", "applies_when_condition": { "all_of": [{ "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 25 Abs. 1", "title": "Informierte Einwilligung" }, { "norm": "DSGVO", "article": "Art. 7", "title": "Bedingungen fuer die Einwilligung" }], "sources": [{ "type": "national_law", "ref": "§ 25 TTDSG" }, { "type": "case_law", "ref": "BGH I ZR 7/16 — Planet49" }], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Cookie-Banner mit vollstaendiger Information", "required": true }, "Dokumentation Consent-Flow"], "priority": "kritisch", "tom_control_ids": ["TOM.WEB.01", "TOM.GOV.02"], "breakpilot_feature": "/sdk/cookie-banner", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-015", "title": "Anerkannte Dienste zur Einwilligungsverwaltung", "description": "Die Bundesregierung kann durch Rechtsverordnung Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung (PIMS) festlegen (§ 26 TTDSG).", "applies_when": "organization provides or uses a Personal Information Management Service", "applies_when_condition": { "all_of": [{ "field": "organization.uses_pims", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 26", "title": "Anerkannte Dienste zur Einwilligungsverwaltung" }], "sources": [{ "type": "national_law", "ref": "§ 26 TTDSG" }], "category": "Compliance", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "recurring", "interval": "jaehrlich" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "PIMS-Zertifizierung/Anerkennung", "required": false }], "priority": "niedrig", "tom_control_ids": ["TOM.GOV.02"], "breakpilot_feature": "/sdk/consent", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-016", "title": "Endnutzerinformation bei Rufnummernanzeige", "description": "Bei der Anzeige von Rufnummern muessen Diensteanbieter den Endnutzer ueber die Moeglichkeit der Unterdrueckung informieren (§ 11 TTDSG).", "applies_when": "organization provides telephony services with caller ID", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 11", "title": "Rufnummernanzeige" }], "sources": [{ "type": "national_law", "ref": "§ 11 TTDSG" }], "category": "Organisatorisch", "responsible": "Produktmanagement", "deadline": { "type": "on_event", "event": "Bei Vertragsschluss" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Kundeninformation Rufnummernanzeige", "required": true }], "priority": "mittel", "tom_control_ids": ["TOM.GOV.02"], "breakpilot_feature": null, "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-017", "title": "Automatische Anrufweiterleitung — Einwilligung", "description": "Automatische Anrufweiterleitungen duerfen nur mit Einwilligung des Anschlussinhabers eingerichtet werden (§ 12 TTDSG).", "applies_when": "organization provides call forwarding services", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 12", "title": "Anrufweiterschaltung" }], "sources": [{ "type": "national_law", "ref": "§ 12 TTDSG" }], "category": "Organisatorisch", "responsible": "Produktmanagement", "deadline": { "type": "on_event", "event": "Vor Einrichtung der Weiterleitung" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Einwilligungsnachweis Anrufweiterleitung", "required": true }], "priority": "niedrig", "tom_control_ids": ["TOM.GOV.02"], "breakpilot_feature": null, "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-018", "title": "Bussgeldvorschriften TTDSG", "description": "Verstoesse gegen die Vorschriften des TTDSG koennen als Ordnungswidrigkeiten mit Bussgeldern bis zu 300.000 EUR geahndet werden (§ 28 TTDSG).", "applies_when": "always for organizations under TTDSG scope", "applies_when_condition": { "any_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }, { "field": "organization.provides_telemedia_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 28", "title": "Bussgeldvorschriften" }], "sources": [{ "type": "national_law", "ref": "§ 28 TTDSG" }], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "300.000 EUR", "personal_liability": true }, "evidence": [{ "name": "TTDSG-Compliance-Pruefbericht", "required": true }], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "breakpilot_feature": "/sdk/risk-assessment", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-019", "title": "Strafvorschriften — Verstoesse Fernmeldegeheimnis", "description": "Wer unbefugt einer anderen Person Kenntnis vom Inhalt oder den naeheren Umstaenden der Telekommunikation verschafft, wird strafrechtlich verfolgt (§ 27 TTDSG).", "applies_when": "organization handles telecommunication data", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 27", "title": "Strafvorschriften" }], "sources": [{ "type": "national_law", "ref": "§ 27 TTDSG" }], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "deadline": { "type": "recurring", "interval": "laufend" }, "sanctions": { "max_fine": "Freiheitsstrafe bis 2 Jahre oder Geldstrafe", "personal_liability": true, "criminal_liability": true }, "evidence": [{ "name": "Schulungsnachweis Fernmeldegeheimnis", "required": true }], "priority": "kritisch", "tom_control_ids": ["TOM.HR.02", "TOM.AC.01"], "breakpilot_feature": "/sdk/training", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" }, { "id": "TTDSG-OBL-020", "title": "Teilnehmerverzeichnisse — Einwilligung", "description": "Die Aufnahme in oeffentliche Teilnehmerverzeichnisse und die Bereitstellung von Auskunftsdiensten bedarf der vorherigen Einwilligung des Teilnehmers (§ 17 TTDSG).", "applies_when": "organization maintains subscriber directories", "applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }, { "field": "organization.maintains_directories", "operator": "EQUALS", "value": true }] }, "legal_basis": [{ "norm": "TTDSG", "article": "§ 17", "title": "Teilnehmerverzeichnisse" }], "sources": [{ "type": "national_law", "ref": "§ 17 TTDSG" }], "category": "Organisatorisch", "responsible": "Datenschutzbeauftragter", "deadline": { "type": "on_event", "event": "Vor Aufnahme in Verzeichnis" }, "sanctions": { "max_fine": "300.000 EUR" }, "evidence": [{ "name": "Einwilligungsnachweis Verzeichniseintrag", "required": true }], "priority": "mittel", "tom_control_ids": ["TOM.GOV.02"], "breakpilot_feature": "/sdk/consent", "valid_from": "2021-12-01", "valid_until": null, "version": "1.0" } ], "controls": [ { "id": "TTDSG-CTRL-001", "name": "Cookie-Consent-Management", "description": "Kontrolle zur Sicherstellung der gesetzeskonformen Einholung und Verwaltung von Cookie-Einwilligungen nach § 25 TTDSG.", "category": "Organisatorisch", "what_to_do": "Cookie-Banner implementieren, Cookie-Klassifizierung durchfuehren, Consent-Log fuehren, regelmaessige Audits der Cookie-Nutzung.", "iso27001_mapping": ["A.5.34"], "priority": "kritisch" }, { "id": "TTDSG-CTRL-002", "name": "Fernmeldegeheimnis-Schutz", "description": "Kontrolle zur Gewaehrleistung des Fernmeldegeheimnisses durch technische und organisatorische Massnahmen.", "category": "Technisch", "what_to_do": "Verschluesselung implementieren, Zugriffskontrolle auf TK-Daten, Mitarbeiterschulung zum Fernmeldegeheimnis, Protokollierung.", "iso27001_mapping": ["A.8.24", "A.5.14"], "priority": "kritisch" }, { "id": "TTDSG-CTRL-003", "name": "Verkehrs- und Standortdaten-Governance", "description": "Kontrolle zur Einhaltung der Zweckbindung und Loeschpflichten fuer Verkehrs- und Standortdaten.", "category": "Governance", "what_to_do": "Datenklassifizierung erstellen, automatische Loeschmechanismen implementieren, Einwilligungsprozesse fuer Standortdaten pruefen.", "iso27001_mapping": ["A.5.33", "A.8.10"], "priority": "hoch" } ], "incident_deadlines": [ { "phase": "Meldung TK-Sicherheitsvorfall an BNetzA", "deadline": "Unverzueglich (i.d.R. 24 Stunden)", "content": "Art und Umfang des Vorfalls, betroffene Dienste, ergriffene Massnahmen", "recipient": "Bundesnetzagentur (BNetzA)", "legal_basis": [{ "norm": "TKG", "article": "§ 168" }] }, { "phase": "Benachrichtigung betroffener Teilnehmer", "deadline": "Unverzueglich bei Risiko fuer persoenliche Daten", "content": "Art des Vorfalls, Kontaktdaten, empfohlene Schutzmassnahmen", "recipient": "Betroffene Teilnehmer", "legal_basis": [{ "norm": "DSGVO", "article": "Art. 34" }] }, { "phase": "Meldung an BSI bei erheblichen Stoerungen", "deadline": "Unverzueglich", "content": "Technische Rahmenbedingungen, vermutete Ursache, Auswirkungen", "recipient": "Bundesamt fuer Sicherheit in der Informationstechnik (BSI)", "legal_basis": [{ "norm": "TKG", "article": "§ 169" }] } ] }