-- Migration 025: DSFA Template für Document Generator
-- Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

INSERT INTO compliance_legal_templates (
    tenant_id,
    document_type,
    title,
    description,
    language,
    jurisdiction,
    version,
    status,
    license_name,
    source_name,
    attribution_required,
    is_complete_document,
    placeholders,
    content
) VALUES (
    '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
    'dsfa',
    'Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO',
    'Vollständige Vorlage für eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO mit IF-Blöcken für alle Pflichtfelder. Geeignet für Hochrisiko-Verarbeitungen, KI-Systeme (EU AI Act) und automatisierte Entscheidungsprozesse.',
    'de',
    'EU/DSGVO',
    '1.0',
    'published',
    'MIT',
    'BreakPilot Compliance',
    false,
    true,
    CAST('[
        "{{ORGANISATION_NAME}}",
        "{{ORGANISATION_ADRESSE}}",
        "{{DSB_NAME}}",
        "{{DSB_KONTAKT}}",
        "{{VERARBEITUNG_TITEL}}",
        "{{VERARBEITUNG_BESCHREIBUNG}}",
        "{{ZWECK_VERARBEITUNG}}",
        "{{RECHTSGRUNDLAGE}}",
        "{{DATENKATEGORIEN}}",
        "{{BETROFFENENGRUPPEN}}",
        "{{EMPFAENGER}}",
        "{{DRITTLANDTRANSFER}}",
        "{{SPEICHERDAUER}}",
        "{{RISIKO_BEWERTUNG}}",
        "{{MASSNAHMEN}}",
        "{{ERSTELLT_VON}}",
        "{{ERSTELLT_AM}}",
        "{{GENEHMIGT_VON}}",
        "{{GENEHMIGT_AM}}"
    ]' AS jsonb),
    E'# Datenschutz-Folgenabschätzung (DSFA)\n**gemäß Art. 35 DSGVO**\n\n---\n\n## 1. Allgemeine Informationen\n\n| Feld | Inhalt |\n|------|--------|\n| **Organisation** | {{ORGANISATION_NAME}} |\n| **Adresse** | {{ORGANISATION_ADRESSE}} |\n| **Datenschutzbeauftragter** | {{DSB_NAME}} |\n| **DSB-Kontakt** | {{DSB_KONTAKT}} |\n| **Erstellt von** | {{ERSTELLT_VON}} |\n| **Erstellt am** | {{ERSTELLT_AM}} |\n{{IF GENEHMIGT_VON}}| **Genehmigt von** | {{GENEHMIGT_VON}} |\n| **Genehmigt am** | {{GENEHMIGT_AM}} |\n{{/IF}}\n\n---\n\n## 2. Beschreibung der Verarbeitungstätigkeit\n\n### 2.1 Bezeichnung\n\n**{{VERARBEITUNG_TITEL}}**\n\n### 2.2 Beschreibung\n\n{{VERARBEITUNG_BESCHREIBUNG}}\n\n### 2.3 Zweck der Verarbeitung\n\n{{ZWECK_VERARBEITUNG}}\n\n### 2.4 Rechtsgrundlage\n\n{{RECHTSGRUNDLAGE}}\n\n---\n\n## 3. Umfang und Art der Verarbeitung\n\n### 3.1 Verarbeitete Datenkategorien\n\n{{DATENKATEGORIEN}}\n\n### 3.2 Betroffene Personengruppen\n\n{{BETROFFENENGRUPPEN}}\n\n### 3.3 Empfänger und Auftragsverarbeiter\n\n{{EMPFAENGER}}\n\n{{IF DRITTLANDTRANSFER}}\n### 3.4 Drittlandtransfer\n\n{{DRITTLANDTRANSFER}}\n\n{{/IF}}\n### 3.5 Speicherdauer und Löschfristen\n\n{{SPEICHERDAUER}}\n\n---\n\n## 4. Notwendigkeit und Verhältnismäßigkeit\n\n### 4.1 Notwendigkeit der Verarbeitung\n\nDie Verarbeitung ist für den beschriebenen Zweck notwendig. Es wurden keine milderen Mittel identifiziert, die den gleichen Zweck mit geringerem Risiko für die Betroffenen erreichen könnten.\n\n### 4.2 Verhältnismäßigkeit\n\nDie verarbeiteten Datenkategorien beschränken sich auf das für den Verarbeitungszweck erforderliche Minimum (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO).\n\n### 4.3 Betroffenenrechte\n\nDie folgenden Betroffenenrechte werden gewährleistet:\n\n- **Auskunftsrecht** (Art. 15 DSGVO): Betroffene können jederzeit Auskunft über gespeicherte Daten anfordern.\n- **Berichtigungsrecht** (Art. 16 DSGVO): Unrichtige Daten werden auf Anfrage korrigiert.\n- **Löschungsrecht** (Art. 17 DSGVO): Daten werden auf Anfrage oder nach Zweckentfall gelöscht.\n- **Widerspruchsrecht** (Art. 21 DSGVO): Betroffene können der Verarbeitung widersprechen.\n{{IF RECHTSGRUNDLAGE}}\n- **Widerrufsrecht** (Art. 7 Abs. 3 DSGVO): Einwilligungen können jederzeit widerrufen werden.\n{{/IF}}\n\n---\n\n## 5. Risikobewertung\n\n### 5.1 Identifizierte Risiken\n\n{{RISIKO_BEWERTUNG}}\n\n### 5.2 Risikomatrix\n\n| Risiko | Eintrittswahrscheinlichkeit | Schwere | Gesamt-Risiko |\n|--------|----------------------------|---------|----------------|\n| Unbefugter Zugriff | Mittel | Hoch | **Hoch** |\n| Datenverlust | Niedrig | Hoch | **Mittel** |\n| Fehlerhafte Verarbeitung | Niedrig | Mittel | **Niedrig** |\n| Zweckentfremdung | Niedrig | Hoch | **Mittel** |\n\n### 5.3 Risikoeinstufung\n\nNach Abwägung der identifizierten Risiken und der ergriffenen Maßnahmen wird das Restrisiko als **akzeptabel** eingestuft. Eine Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO ist\n{{IF RISIKO_BEWERTUNG}}\nnicht erforderlich.\n{{/IF}}\n\n---\n\n## 6. Technische und Organisatorische Maßnahmen (TOM)\n\n### 6.1 Ergriffene Maßnahmen\n\n{{MASSNAHMEN}}\n\n### 6.2 Standardmaßnahmen\n\nZusätzlich zu den spezifischen Maßnahmen gelten folgende organisationsweite Schutzmaßnahmen:\n\n| Kategorie | Maßnahme |\n|-----------|----------|\n| **Verschlüsselung** | TLS 1.3 für alle Datenübertragungen, AES-256 für Daten im Ruhezustand |\n| **Zugriffskontrolle** | Rollenbasiertes Zugriffssystem (RBAC), Least-Privilege-Prinzip |\n| **Authentifizierung** | Starke Passwortrichtlinien, Zwei-Faktor-Authentifizierung |\n| **Protokollierung** | Vollständiges Audit-Log aller Datenzugriffe |\n| **Datensicherung** | Regelmäßige verschlüsselte Backups, Wiederherstellungstests |\n| **Incident Response** | Dokumentierter Prozess für Datenpannen gemäß Art. 33/34 DSGVO |\n| **Auftragsverarbeitung** | AVV-Verträge mit allen Auftragsverarbeitern gemäß Art. 28 DSGVO |\n| **Schulung** | Regelmäßige Datenschutzschulungen für alle Mitarbeitenden |\n\n---\n\n## 7. Ergebnis der DSFA\n\n### 7.1 Zusammenfassung\n\nDie Datenschutz-Folgenabschätzung für die Verarbeitungstätigkeit **{{VERARBEITUNG_TITEL}}** wurde gemäß Art. 35 DSGVO durchgeführt. Die identifizierten Risiken wurden bewertet und durch geeignete technische und organisatorische Maßnahmen auf ein akzeptables Niveau reduziert.\n\n### 7.2 Fazit\n\nDie geplante Verarbeitungstätigkeit kann unter Einhaltung der beschriebenen Maßnahmen durchgeführt werden. Die Verarbeitung ist notwendig, verhältnismäßig und rechtskonform.\n\n### 7.3 Überprüfungsintervall\n\nDiese DSFA ist spätestens alle **12 Monate** oder bei wesentlichen Änderungen der Verarbeitungstätigkeit zu überprüfen und ggf. zu aktualisieren.\n\n---\n\n## 8. Unterschriften\n\n| Rolle | Name | Datum | Unterschrift |\n|-------|------|-------|--------------|\n| Erstellt von | {{ERSTELLT_VON}} | {{ERSTELLT_AM}} | _________________ |\n{{IF GENEHMIGT_VON}}| Genehmigt von (DSB) | {{GENEHMIGT_VON}} | {{GENEHMIGT_AM}} | _________________ |\n{{/IF}}\n| Verantwortlicher | | | _________________ |\n\n---\n\n*Dieses Dokument wurde erstellt mit BreakPilot Compliance gemäß den Anforderungen der DSGVO (Verordnung (EU) 2016/679). Es ist vertraulich und intern zu behandeln.*'
) ON CONFLICT DO NOTHING;