Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
051890c370584e44a37235120f7be73e4507c5aa
breakpilot-compliance/backend-compliance/migrations/104_special_templates.sql
T
Benjamin Admin 3984f39329 feat: Phase 5 — Special templates (AI policy, BYOD, ISMS, consent, video DSI) 
Phase 5 of the Document Templates Masterplan:

- 104: 5 new special templates:
  - ai_usage_policy: AI usage policy (AI Act Art. 4 training obligation,
    forbidden inputs, quality check, labeling, TDM opt-out)
  - byod_policy: Bring Your Own Device (container solution, remote wipe,
    DSFA, cost sharing options)
  - consent_texts: Double-Opt-In texts, newsletter, marketing, tracking,
    profiling consent, unsubscribe confirmation
  - video_conference_dsi: Video conference privacy notice (Zoom/Teams/Meet,
    recording consent, third-country transfer)
  - isms_manual: ISMS handbook (ISO 27001, document structure map to all
    other templates, PDCA cycle, management review)

Generator: 6 new categories (AI governance, ISMS, consent, special DSI,
internal policies)

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-05-01 09:25:32 +02:00

578 lines
23 KiB
SQL
Raw Blame History

-- Migration 104: Spezial-Templates — Phase 5
-- 5 neue Templates: KI-Nutzungsrichtlinie, BYOD, ISMS-Leitfaden,
-- Consent-Texte (Double-Opt-In), Videokonferenz-DSI
-- ===========================================================================
-- Template 1: KI-Nutzungsrichtlinie (AI Act + interne Governance)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'ai_usage_policy',
'KI-Nutzungsrichtlinie (AI Act / interne Governance)',
'Interne Richtlinie fuer den Einsatz von KI-Systemen (ChatGPT, Copilot, etc.). AI Act Schulungspflicht (Art. 4, seit Feb 2025), erlaubte/verbotene Nutzung, Datenschutz, Qualitaetspruefung, Kennzeichnungspflicht.',
$template$# KI-Nutzungsrichtlinie
Interne Richtlinie fuer den Einsatz von Systemen der kuenstlichen Intelligenz
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. Zweck und Geltungsbereich
(1) Diese Richtlinie regelt den Einsatz von KI-Systemen bei {{COMPANY_NAME}}. Sie gilt fuer alle Beschaeftigten, Auftragnehmer und Dienstleister, die im Rahmen ihrer Taetigkeit KI-Werkzeuge nutzen.
(2) Als KI-Systeme gelten insbesondere: Generative KI (ChatGPT, Claude, Gemini, Copilot), Bild-/Video-Generatoren (DALL-E, Midjourney), Code-Assistenten (GitHub Copilot), Uebersetzungstools und sonstige automatisierte Entscheidungssysteme.
---
## 2. Rechtsrahmen
| Vorschrift | Relevanz |
|-----------|----------|
| **AI Act (EU) 2024/1689** | Risikoklassifizierung, Verbote, Transparenz, Schulungspflicht (Art. 4) |
| **DSGVO** | Verarbeitung personenbezogener Daten durch KI |
| **UrhG** | Urheberrecht an KI-generierten Inhalten |
| **GeschGehG** | Schutz von Geschaeftsgeheimnissen |
**Schulungspflicht (Art. 4 AI Act):** Seit Februar 2025 muessen alle Personen, die KI-Systeme einsetzen, ueber ausreichende KI-Kompetenz verfuegen. {{COMPANY_NAME}} stellt die erforderlichen Schulungen bereit.
---
## 3. Freigegebene KI-Systeme
{{#IF HAS_APPROVED_AI_LIST}}
Folgende KI-Systeme sind fuer die dienstliche Nutzung freigegeben:
{{APPROVED_AI_SYSTEMS}}
Die Nutzung nicht freigegebener KI-Systeme fuer dienstliche Zwecke ist untersagt. Vorschlaege zur Freigabe weiterer Systeme koennen beim ISB eingereicht werden.
{{/IF}}
{{#IF_NOT HAS_APPROVED_AI_LIST}}
Die Nutzung von KI-Systemen fuer dienstliche Zwecke bedarf der vorherigen Freigabe durch den ISB. Ohne Freigabe duerfen keine KI-Systeme fuer die Verarbeitung dienstlicher Daten eingesetzt werden.
{{/IF_NOT}}
---
## 4. Verbotene Eingaben
Folgende Daten duerfen **niemals** in externe KI-Systeme eingegeben werden:
- **Personenbezogene Daten** (Namen, Adressen, E-Mail-Adressen von Kunden, Mitarbeitenden oder Dritten)
- **Geschaeftsgeheimnisse** (Strategien, Finanzdaten, unveroeffenlichte Produkte, Quellcode)
- **Vertrauliche Kundendaten** (Vertraege, Angebote, Korrespondenz)
- **Passwoerter, Zugangsdaten, API-Keys**
- **Gesundheitsdaten, Bewerberdaten, Personaldaten**
**Faustregel:** Wenn Sie die Information nicht an eine fremde Person per E-Mail senden wuerden, geben Sie sie nicht in ein KI-System ein.
---
## 5. Erlaubte Nutzung
KI-Systeme duerfen fuer folgende Zwecke eingesetzt werden:
- Formulierungshilfe fuer allgemeine Texte (ohne vertrauliche Inhalte)
- Recherche und Zusammenfassung oeffentlich verfuegbarer Informationen
- Ideengenerierung und Brainstorming
- Code-Unterstuetzung (ohne proprietaeren Quellcode)
- Uebersetzung nicht-vertraulicher Texte
---
## 6. Qualitaetspruefung (Human-in-the-Loop)
(1) **Alle KI-generierten Inhalte muessen vor der Verwendung durch einen Menschen geprueft werden.** KI-Ausgaben koennen fehlerhaft, veraltet oder voreingenommen sein.
(2) Insbesondere ist zu pruefen:
- Sachliche Richtigkeit (Faktencheck)
- Vollstaendigkeit
- Urheberrechtliche Unbedenklichkeit
- Diskriminierungsfreiheit
(3) KI-generierte Inhalte duerfen nicht als eigene Leistung ausgegeben werden, wenn dies taeuschend waere.
---
## 7. Kennzeichnungspflicht
{{#IF HAS_AI_LABELING_INTERNAL}}
(1) Intern: KI-unterstuetzte Dokumente, Praesentationen und Analysen sind als solche zu kennzeichnen (z.B. Fussnote "Mit KI-Unterstuetzung erstellt").
(2) Extern: KI-generierte Inhalte, die veroeffentlicht oder an Kunden uebermittelt werden, unterliegen der Kennzeichnungspflicht nach Art. 50 AI Act (ab August 2026). Bis dahin empfiehlt {{COMPANY_NAME}} eine freiwillige Kennzeichnung.
{{/IF}}
---
## 8. Datenschutz
(1) Die Nutzung von KI-Systemen, die personenbezogene Daten verarbeiten, erfordert eine Datenschutz-Folgenabschaetzung (Art. 35 DSGVO), sofern ein hohes Risiko fuer die Rechte und Freiheiten betroffener Personen besteht.
(2) Bei der Nutzung externer KI-Dienste ist zu pruefen, ob ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) erforderlich ist und ob Daten in Drittlaender uebermittelt werden.
(3) KI-Systeme, die automatisierte Einzelentscheidungen treffen (Art. 22 DSGVO), beduerfen besonderer Pruefung und Dokumentation.
---
## 9. Urheberrecht
(1) KI-generierte Inhalte geniessen nach aktueller Rechtslage in der Regel keinen urheberrechtlichen Schutz (kein menschlicher Schoepfer).
(2) Bei der Eingabe von Inhalten in KI-Systeme ist sicherzustellen, dass keine Urheberrechte Dritter verletzt werden.
(3) Der TDM-Opt-out (Art. 4 Richtlinie (EU) 2019/790) ist fuer Inhalte von {{COMPANY_NAME}} aktiviert unsere Inhalte duerfen nicht fuer KI-Training verwendet werden.
---
## 10. Verstoesse
Verstoesse gegen diese Richtlinie koennen arbeitsrechtliche Konsequenzen nach sich ziehen. Bei Verdacht auf einen Verstoss ist der ISB unverzueglich zu informieren.
---
## 11. Revision
Diese Richtlinie wird aufgrund der dynamischen Entwicklung im KI-Bereich **halbjaehrlich** ueberprueft. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","APPROVED_AI_SYSTEMS"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'ai_usage_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- Template 2: BYOD-Richtlinie
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'byod_policy',
'BYOD-Richtlinie (Bring Your Own Device)',
'Richtlinie fuer die Nutzung privater Endgeraete im Unternehmenskontext. DSGVO-konform, Container-Loesung, Remote-Loeschung, On-/Offboarding, DSFA-Hinweis.',
$template$# BYOD-Richtlinie (Bring Your Own Device)
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. Zweck und Geltungsbereich
Diese Richtlinie regelt die Nutzung privater Endgeraete (Smartphones, Tablets, Laptops) fuer dienstliche Zwecke bei {{COMPANY_NAME}} (Bring Your Own Device BYOD).
Sie gilt fuer alle Beschaeftigten, die private Geraete fuer den Zugriff auf Unternehmensdaten, E-Mail, Kalender oder interne Systeme nutzen moechten.
---
## 2. Teilnahme und Freigabe
(1) Die Teilnahme am BYOD-Programm ist **freiwillig**. Es besteht kein Anspruch auf Nutzung privater Geraete.
(2) Die Teilnahme setzt voraus:
- Schriftliche Vereinbarung zwischen Mitarbeitendem und {{COMPANY_NAME}}
- Installation der vorgeschriebenen Sicherheitssoftware (MDM/Container)
- Teilnahme an der BYOD-Sicherheitsschulung
(3) {{COMPANY_NAME}} behaelt sich vor, die BYOD-Berechtigung jederzeit zu widerrufen.
---
## 3. Technische Anforderungen
### 3.1 Mindestanforderungen
| Anforderung | Beschreibung |
|-------------|-------------|
| Betriebssystem | Aktuelle oder vorletzte Version (iOS/Android/Windows/macOS) |
| Sicherheitsupdates | Automatische Installation aktiviert |
| Bildschirmsperre | PIN (mind. 6 Zeichen) oder biometrisch |
| Verschluesselung | Geraeteverschluesselung aktiviert |
| Jailbreak/Root | **Verboten** gerootete/gejailbreakte Geraete sind ausgeschlossen |
### 3.2 Container-Loesung
Unternehmensdaten werden in einem verschluesselten Container auf dem Geraet gespeichert. Der Container ist vom privaten Bereich des Geraets getrennt. {{COMPANY_NAME}} hat **keinen Zugriff** auf private Daten, Apps oder Inhalte ausserhalb des Containers.
---
## 4. Datenschutz und Datentrennung
(1) **Strikte Trennung:** Unternehmensdaten und private Daten werden technisch getrennt (Container). Ein Zugriff privater Apps auf Unternehmensdaten ist nicht moeglich.
(2) **Kein Zugriff auf Privatdaten:** {{COMPANY_NAME}} greift nicht auf private Daten, Fotos, Nachrichten, Standortdaten oder Apps zu. Die MDM-Loesung verwaltet ausschliesslich den Unternehmens-Container.
(3) **Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Unternehmensdaten), abgestuetzt durch die freiwillige BYOD-Vereinbarung.
(4) **DSFA:** Eine Datenschutz-Folgenabschaetzung wurde fuer das BYOD-Programm durchgefuehrt.
---
## 5. Remote-Loeschung
(1) {{COMPANY_NAME}} kann den Unternehmens-Container im Verlust- oder Diebstahlfall **fernloeschen** (Selective Wipe). Private Daten werden dabei **nicht** geloescht.
(2) Der Mitarbeitende ist verpflichtet, den Verlust oder Diebstahl eines BYOD-Geraets **unverzueglich** dem IT-Support zu melden.
---
## 6. Offboarding
Bei Beendigung des Beschaeftigungsverhaeltnisses:
- Unternehmens-Container wird geloescht
- MDM-Profil wird entfernt
- Alle Unternehmensdaten werden vom Geraet entfernt
- Private Daten bleiben unberuehrt
---
## 7. Pflichten der Mitarbeitenden
- Sicherheitsupdates zeitnah installieren
- Geraet nicht an Dritte weitergeben (mit aktivem Container)
- Verlust oder Diebstahl unverzueglich melden
- Keine Unternehmensdaten ausserhalb des Containers speichern
- Keine Screenshots von vertraulichen Unternehmensdaten
---
## 8. Kosten
{{#IF BYOD_COST_SHARING}}
{{COMPANY_NAME}} beteiligt sich an den Kosten fuer die dienstliche Nutzung des privaten Geraets: {{BYOD_COST_DETAILS}}
{{/IF}}
{{#IF_NOT BYOD_COST_SHARING}}
Die Kosten fuer das private Geraet und den Mobilfunkvertrag traegt der Mitarbeitende. {{COMPANY_NAME}} stellt die erforderliche Sicherheitssoftware kostenlos bereit.
{{/IF_NOT}}
---
## 9. Revision
Jaehrliche Pruefung durch ISB. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","BYOD_COST_DETAILS"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'byod_policy' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- Template 3: Consent-Texte (Double-Opt-In fuer E-Mail-Marketing)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'consent_texts',
'Einwilligungstexte (Double-Opt-In, Newsletter, Marketing)',
'Sammlung von Einwilligungstexten fuer Newsletter, E-Mail-Marketing, Tracking und Profiling. DSGVO Art. 6 Abs. 1 lit. a, Art. 7, UWG § 7 Abs. 2 Nr. 3. Mit Double-Opt-In Bestaetigungsmail.',
$template$# Einwilligungstexte
Vorlagen fuer DSGVO-konforme Einwilligungserklaerungen
**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}
---
## 1. Newsletter-Anmeldung (Checkbox-Text)
> Ich moechte den Newsletter von {{COMPANY_NAME}} erhalten und willige in die Verarbeitung meiner E-Mail-Adresse zum Versand des Newsletters ein. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen, z.B. ueber den Abmeldelink in jeder E-Mail. Datenschutzinformation: {{PRIVACY_POLICY_URL}}
---
## 2. Double-Opt-In Bestaetigungsmail
**Betreff:** Bitte bestaetigen Sie Ihre Newsletter-Anmeldung
**Text:**
> Vielen Dank fuer Ihr Interesse am Newsletter von {{COMPANY_NAME}}.
>
> Bitte bestaetigen Sie Ihre Anmeldung durch Klick auf den folgenden Link:
>
> [Anmeldung bestaetigen]
>
> Falls Sie diese Anmeldung nicht angefordert haben, ignorieren Sie bitte diese E-Mail. Ihre E-Mail-Adresse wird dann nicht gespeichert.
>
> Mit freundlichen Gruessen
> {{COMPANY_NAME}}
---
## 3. Marketing-Einwilligung (erweitert)
> Ich willige ein, dass {{COMPANY_NAME}} meine E-Mail-Adresse nutzt, um mir Informationen zu Produkten, Angeboten und Neuigkeiten per E-Mail zuzusenden. Ich kann die Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen. Datenschutzinformation: {{PRIVACY_POLICY_URL}}
---
{{#IF HAS_TRACKING_CONSENT}}
## 4. Tracking in E-Mails (Oeffnungs-/Klicktracking)
> Ich willige ein, dass {{COMPANY_NAME}} mein Oeffnungs- und Klickverhalten in E-Mails analysiert, um die Inhalte an meine Interessen anzupassen. Die Analyse erfolgt ueber eingebettete Tracking-Pixel und Link-Weiterleitungen. Ich kann diese Einwilligung jederzeit widerrufen.
{{/IF}}
---
{{#IF HAS_PROFILING_CONSENT}}
## 5. Profiling/Personalisierung
> Ich willige ein, dass {{COMPANY_NAME}} mein Nutzungsverhalten auf {{PLATFORM_NAME}} analysiert, um mir personalisierte Inhalte und Empfehlungen anzuzeigen. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung statt (Art. 22 DSGVO). Ich kann diese Einwilligung jederzeit widerrufen.
{{/IF}}
---
## 6. Abmeldebestaetigung
**Betreff:** Ihre Newsletter-Abmeldung
**Text:**
> Sie wurden erfolgreich vom Newsletter von {{COMPANY_NAME}} abgemeldet.
>
> Ihre E-Mail-Adresse wird innerhalb von 7 Tagen aus unserem Verteiler geloescht.
>
> Falls Sie sich erneut anmelden moechten: {{NEWSLETTER_SIGNUP_URL}}
---
## 7. Hinweise zur Implementierung
- Die Einwilligung muss **aktiv** erfolgen (Checkbox nicht vorausgewaehlt)
- Die Einwilligung muss **dokumentiert** werden (Zeitpunkt, IP-Adresse, Text)
- **Koppelungsverbot** (Art. 7 Abs. 4 DSGVO): Die Einwilligung darf nicht an eine Vertragsbedingung gekoppelt werden
- **Double-Opt-In** ist in Deutschland fuer E-Mail-Marketing **zwingend** (UWG § 7 Abs. 2 Nr. 3)
- Der Widerruf muss ebenso einfach sein wie die Erteilung (Abmeldelink in jeder E-Mail)
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","VERSION_DATE","PRIVACY_POLICY_URL","PLATFORM_NAME","NEWSLETTER_SIGNUP_URL"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'consent_texts' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- Template 4: Videokonferenz-DSI
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'video_conference_dsi',
'Datenschutzinformation — Videokonferenzen',
'Datenschutzinformation fuer Teilnehmer von Videokonferenzen (Zoom, Teams, Meet). Art. 13 DSGVO, Aufzeichnungshinweis, Drittlanduebermittlung.',
$template$# Datenschutzinformation Videokonferenzen
Informationen gemaess Art. 13 DSGVO fuer Teilnehmer von Videokonferenzen
**{{COMPANY_NAME}}** | Stand: {{VERSION_DATE}}
---
## 1. Verantwortlicher
**{{COMPANY_NAME}}**, {{COMPANY_ADDRESS_FULL}}
E-Mail: {{CONTACT_EMAIL}}
{{#IF DPO_NAME}}DSB: {{DPO_NAME}} {{DPO_EMAIL}}{{/IF}}
---
## 2. Eingesetztes Tool
| Eigenschaft | Angabe |
|-------------|--------|
| Anbieter | {{VIDEO_PROVIDER_NAME}} |
| Sitz | {{VIDEO_PROVIDER_COUNTRY}} |
| Rolle | {{VIDEO_PROVIDER_ROLE}} |
| Datenschutzinformationen | {{VIDEO_PROVIDER_PRIVACY_URL}} |
{{#IF VIDEO_PROVIDER_IS_US}}
**Drittlanduebermittlung:** Der Anbieter ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusaetzlich werden EU-Standardvertragsklauseln eingesetzt.
{{/IF}}
---
## 3. Verarbeitete Daten
| Kategorie | Beispiele |
|-----------|----------|
| Accountdaten | Name, E-Mail (bei registrierten Nutzern) |
| Meetingdaten | Datum, Uhrzeit, Dauer, Teilnehmer, Meeting-ID |
| Inhaltsdaten | Audio, Video, Chat-Nachrichten, geteilte Inhalte |
| Technische Daten | IP-Adresse, Geraetetyp, Browserversion |
{{#IF HAS_RECORDING}} | Aufzeichnungen | Audio-/Videoaufzeichnung des Meetings | {{/IF}}
---
## 4. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|-------|----------------|
| Durchfuehrung der Videokonferenz | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) oder lit. f (berechtigtes Interesse) |
| IT-Sicherheit und Stoerungsbehebung | Art. 6 Abs. 1 lit. f DSGVO |
{{#IF HAS_RECORDING}} | Aufzeichnung (bei Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO | {{/IF}}
{{#IF HAS_RECORDING}}
**Hinweis Aufzeichnung:** Videokonferenzen werden nur mit **vorheriger Einwilligung aller Teilnehmer** aufgezeichnet. Die Einwilligung wird zu Beginn des Meetings eingeholt. Teilnehmer, die nicht einwilligen, koennen ohne Aufzeichnung teilnehmen oder das Meeting verlassen.
{{/IF}}
---
## 5. Speicherdauer
| Daten | Speicherdauer |
|-------|:---:|
| Meeting-Metadaten | 30 Tage |
| Chat-Nachrichten | Bis Meeting-Ende (nicht gespeichert) |
{{#IF HAS_RECORDING}} | Aufzeichnungen | {{RECORDING_RETENTION_DAYS}} Tage | {{/IF}}
| Technische Logs | 7 Tage |
---
## 6. Ihre Rechte
Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17), Einschraenkung (Art. 18), Widerspruch (Art. 21), Beschwerde bei der Aufsichtsbehoerde (Art. 77 DSGVO).
Kontakt: {{DATA_SUBJECT_REQUEST_CHANNEL}}
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","COMPANY_ADDRESS_FULL","CONTACT_EMAIL","DPO_NAME","DPO_EMAIL","VERSION_DATE","VIDEO_PROVIDER_NAME","VIDEO_PROVIDER_COUNTRY","VIDEO_PROVIDER_ROLE","VIDEO_PROVIDER_PRIVACY_URL","DATA_SUBJECT_REQUEST_CHANNEL","RECORDING_RETENTION_DAYS"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'video_conference_dsi' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
-- ===========================================================================
-- Template 5: ISMS-Leitfaden (Kurzfassung fuer /sdk/isms Modul)
-- ===========================================================================
INSERT INTO compliance_legal_templates (
id, tenant_id, document_type, title, description, content,
placeholders, language, jurisdiction,
license_id, license_name, source_name,
attribution_required, is_complete_document, version, status,
created_at, updated_at
) SELECT gen_random_uuid(), '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e',
'isms_manual',
'ISMS-Handbuch (ISO 27001)',
'ISMS-Handbuch als uebergeordnetes Dokument des Informationssicherheits-Managementsystems nach ISO 27001:2022. Verweist auf alle untergeordneten Konzepte und Richtlinien.',
$template$# ISMS-Handbuch
Informationssicherheits-Managementsystem nach ISO/IEC 27001:2022
**{{COMPANY_NAME}}** | Version {{DOCUMENT_VERSION}} | Stand: {{VERSION_DATE}}
---
## 1. ISMS-Leitlinie
Siehe: **Informationssicherheitsrichtlinie** (information_security_policy)
---
## 2. Geltungsbereich (Scope)
### 2.1 Eingeschlossene Bereiche
{{SCOPE_DESCRIPTION}}
### 2.2 Interessierte Parteien
| Partei | Erwartungen |
|--------|-----------|
| Geschaeftsfuehrung | Schutz der Geschaeftswerte, Compliance |
| Kunden | Vertraulichkeit ihrer Daten, Verfuegbarkeit |
| Mitarbeitende | Klare Regeln, Schulung |
| Aufsichtsbehoerden | Gesetzeskonformitaet (DSGVO, NIS2) |
| Lieferanten | Faire Sicherheitsanforderungen |
---
## 3. Dokumentenstruktur
### 3.1 Uebergeordnete Dokumente
| Dokument | Zweck |
|----------|-------|
| ISMS-Handbuch (dieses Dokument) | Gesamtueberblick, Scope, Dokumentenstruktur |
| Informationssicherheitsrichtlinie | Sicherheitsziele, Grundsaetze, Rollen |
| Risikomanagement-Konzept | Risikoprozess, Bewertungsmatrix |
| Statement of Applicability (SoA) | Anwendbarkeit der ISO 27001 Controls |
### 3.2 Konzepte und Plaene
| Dokument | Verweis |
|----------|--------|
| IT-Sicherheitskonzept | it_security_concept |
| Datenschutzkonzept | data_protection_concept |
| Zugriffskonzept | access_control_concept |
| Backup-Recovery-Konzept | backup_recovery_concept |
| Logging-Konzept | logging_concept |
| Incident-Response-Plan | incident_response_plan |
### 3.3 Richtlinien
| Dokument | Verweis |
|----------|--------|
| Passwortrichtlinie | password_policy |
| Verschluesselungsrichtlinie | encryption_policy |
| BYOD-Richtlinie | byod_policy |
| KI-Nutzungsrichtlinie | ai_usage_policy |
| Remote-Work-Richtlinie | remote_work_policy |
| Alle weiteren Richtlinien | Siehe Document Generator |
### 3.4 Compliance-Dokumente
| Dokument | Verweis |
|----------|--------|
| TOM-Dokumentation | tom_documentation |
| VVT (Art. 30 DSGVO) | vvt_register |
| Loeschkonzept | loeschkonzept |
| Pflichtenregister | pflichtenregister |
| DSFA (Art. 35 DSGVO) | dsfa |
---
## 4. PDCA-Zyklus
| Phase | Aktivitaeten | Verantwortlich |
|-------|-------------|---------------|
| **Plan** | Risikoanalyse, Massnahmenplanung, Schulungsplanung | ISB |
| **Do** | Massnahmen umsetzen, Schulungen durchfuehren | Alle |
| **Check** | Interne Audits, KPI-Auswertung, Management-Review | ISB + GF |
| **Act** | Korrekturmassnahmen, kontinuierliche Verbesserung | ISB |
---
## 5. Management-Review
Jaehrliches Management-Review durch die Geschaeftsfuehrung. Inhalt:
- Ergebnisse der internen Audits
- Status der Korrekturmassnahmen
- Risikobewertung und -behandlung
- KPI-Auswertung
- Aenderungen im Kontext der Organisation
- Verbesserungsvorschlaege
---
## 6. Revision
Jaehrliche Pruefung. Naechste Pruefung: {{NEXT_REVIEW_DATE}}.
*Erstellt mit BreakPilot Compliance {{COMPANY_NAME}} | {{VERSION_DATE}}*
$template$,
'["COMPANY_NAME","DOCUMENT_VERSION","VERSION_DATE","NEXT_REVIEW_DATE","SCOPE_DESCRIPTION"]'::jsonb,
'de', 'DE', 'mit', 'MIT License', 'BreakPilot Compliance',
false, true, '1.0.0', 'published', NOW(), NOW()
WHERE NOT EXISTS (SELECT 1 FROM compliance_legal_templates WHERE document_type = 'isms_manual' AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e');
Reference in New Issue View Git Blame Copy Permalink