Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
b4d39b9709ce15941288f85869a144fda653c01b
breakpilot-compliance/backend-compliance/migrations/025_dsfa_template.sql
Benjamin Admin b4d39b9709
All checks were successful
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / test-go-ai-compliance (push) Successful in 34s
Details
CI / test-python-backend-compliance (push) Successful in 34s
Details
CI / test-python-document-crawler (push) Successful in 21s
Details
CI / test-python-dsms-gateway (push) Successful in 20s
Details
feat: DSFA-Template für Document Generator (Migration 025) 
Vollständige Vorlage für Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO
mit IF-Blöcken, Risikomatrix, TOM-Tabelle und Unterschriften-Abschnitt.
document_type=dsfa, Sprache=de, 19 Platzhalter.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-04 23:43:59 +01:00

55 lines
6.6 KiB
SQL
Raw Blame History

-- Migration 025: DSFA Template für Document Generator
-- Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
INSERT INTO compliance_legal_templates (
tenant_id,
document_type,
title,
description,
language,
jurisdiction,
version,
status,
license_name,
source_name,
attribution_required,
is_complete_document,
placeholders,
content
) VALUES (
'default',
'dsfa',
'Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO',
'Vollständige Vorlage für eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO mit IF-Blöcken für alle Pflichtfelder. Geeignet für Hochrisiko-Verarbeitungen, KI-Systeme (EU AI Act) und automatisierte Entscheidungsprozesse.',
'de',
'EU/DSGVO',
'1.0',
'active',
'MIT',
'BreakPilot Compliance',
false,
true,
CAST('[
"{{ORGANISATION_NAME}}",
"{{ORGANISATION_ADRESSE}}",
"{{DSB_NAME}}",
"{{DSB_KONTAKT}}",
"{{VERARBEITUNG_TITEL}}",
"{{VERARBEITUNG_BESCHREIBUNG}}",
"{{ZWECK_VERARBEITUNG}}",
"{{RECHTSGRUNDLAGE}}",
"{{DATENKATEGORIEN}}",
"{{BETROFFENENGRUPPEN}}",
"{{EMPFAENGER}}",
"{{DRITTLANDTRANSFER}}",
"{{SPEICHERDAUER}}",
"{{RISIKO_BEWERTUNG}}",
"{{MASSNAHMEN}}",
"{{ERSTELLT_VON}}",
"{{ERSTELLT_AM}}",
"{{GENEHMIGT_VON}}",
"{{GENEHMIGT_AM}}"
]' AS jsonb),
E'# Datenschutz-Folgenabschätzung (DSFA)\n**gemäß Art. 35 DSGVO**\n\n---\n\n## 1. Allgemeine Informationen\n\n| Feld | Inhalt |\n|------|--------|\n| **Organisation** | {{ORGANISATION_NAME}} |\n| **Adresse** | {{ORGANISATION_ADRESSE}} |\n| **Datenschutzbeauftragter** | {{DSB_NAME}} |\n| **DSB-Kontakt** | {{DSB_KONTAKT}} |\n| **Erstellt von** | {{ERSTELLT_VON}} |\n| **Erstellt am** | {{ERSTELLT_AM}} |\n{{IF GENEHMIGT_VON}}| **Genehmigt von** | {{GENEHMIGT_VON}} |\n| **Genehmigt am** | {{GENEHMIGT_AM}} |\n{{/IF}}\n\n---\n\n## 2. Beschreibung der Verarbeitungstätigkeit\n\n### 2.1 Bezeichnung\n\n**{{VERARBEITUNG_TITEL}}**\n\n### 2.2 Beschreibung\n\n{{VERARBEITUNG_BESCHREIBUNG}}\n\n### 2.3 Zweck der Verarbeitung\n\n{{ZWECK_VERARBEITUNG}}\n\n### 2.4 Rechtsgrundlage\n\n{{RECHTSGRUNDLAGE}}\n\n---\n\n## 3. Umfang und Art der Verarbeitung\n\n### 3.1 Verarbeitete Datenkategorien\n\n{{DATENKATEGORIEN}}\n\n### 3.2 Betroffene Personengruppen\n\n{{BETROFFENENGRUPPEN}}\n\n### 3.3 Empfänger und Auftragsverarbeiter\n\n{{EMPFAENGER}}\n\n{{IF DRITTLANDTRANSFER}}\n### 3.4 Drittlandtransfer\n\n{{DRITTLANDTRANSFER}}\n\n{{/IF}}\n### 3.5 Speicherdauer und Löschfristen\n\n{{SPEICHERDAUER}}\n\n---\n\n## 4. Notwendigkeit und Verhältnismäßigkeit\n\n### 4.1 Notwendigkeit der Verarbeitung\n\nDie Verarbeitung ist für den beschriebenen Zweck notwendig. Es wurden keine milderen Mittel identifiziert, die den gleichen Zweck mit geringerem Risiko für die Betroffenen erreichen könnten.\n\n### 4.2 Verhältnismäßigkeit\n\nDie verarbeiteten Datenkategorien beschränken sich auf das für den Verarbeitungszweck erforderliche Minimum (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO).\n\n### 4.3 Betroffenenrechte\n\nDie folgenden Betroffenenrechte werden gewährleistet:\n\n- **Auskunftsrecht** (Art. 15 DSGVO): Betroffene können jederzeit Auskunft über gespeicherte Daten anfordern.\n- **Berichtigungsrecht** (Art. 16 DSGVO): Unrichtige Daten werden auf Anfrage korrigiert.\n- **Löschungsrecht** (Art. 17 DSGVO): Daten werden auf Anfrage oder nach Zweckentfall gelöscht.\n- **Widerspruchsrecht** (Art. 21 DSGVO): Betroffene können der Verarbeitung widersprechen.\n{{IF RECHTSGRUNDLAGE}}\n- **Widerrufsrecht** (Art. 7 Abs. 3 DSGVO): Einwilligungen können jederzeit widerrufen werden.\n{{/IF}}\n\n---\n\n## 5. Risikobewertung\n\n### 5.1 Identifizierte Risiken\n\n{{RISIKO_BEWERTUNG}}\n\n### 5.2 Risikomatrix\n\n| Risiko | Eintrittswahrscheinlichkeit | Schwere | Gesamt-Risiko |\n|--------|----------------------------|---------|----------------|\n| Unbefugter Zugriff | Mittel | Hoch | **Hoch** |\n| Datenverlust | Niedrig | Hoch | **Mittel** |\n| Fehlerhafte Verarbeitung | Niedrig | Mittel | **Niedrig** |\n| Zweckentfremdung | Niedrig | Hoch | **Mittel** |\n\n### 5.3 Risikoeinstufung\n\nNach Abwägung der identifizierten Risiken und der ergriffenen Maßnahmen wird das Restrisiko als **akzeptabel** eingestuft. Eine Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO ist\n{{IF RISIKO_BEWERTUNG}}\nnicht erforderlich.\n{{/IF}}\n\n---\n\n## 6. Technische und Organisatorische Maßnahmen (TOM)\n\n### 6.1 Ergriffene Maßnahmen\n\n{{MASSNAHMEN}}\n\n### 6.2 Standardmaßnahmen\n\nZusätzlich zu den spezifischen Maßnahmen gelten folgende organisationsweite Schutzmaßnahmen:\n\n| Kategorie | Maßnahme |\n|-----------|----------|\n| **Verschlüsselung** | TLS 1.3 für alle Datenübertragungen, AES-256 für Daten im Ruhezustand |\n| **Zugriffskontrolle** | Rollenbasiertes Zugriffssystem (RBAC), Least-Privilege-Prinzip |\n| **Authentifizierung** | Starke Passwortrichtlinien, Zwei-Faktor-Authentifizierung |\n| **Protokollierung** | Vollständiges Audit-Log aller Datenzugriffe |\n| **Datensicherung** | Regelmäßige verschlüsselte Backups, Wiederherstellungstests |\n| **Incident Response** | Dokumentierter Prozess für Datenpannen gemäß Art. 33/34 DSGVO |\n| **Auftragsverarbeitung** | AVV-Verträge mit allen Auftragsverarbeitern gemäß Art. 28 DSGVO |\n| **Schulung** | Regelmäßige Datenschutzschulungen für alle Mitarbeitenden |\n\n---\n\n## 7. Ergebnis der DSFA\n\n### 7.1 Zusammenfassung\n\nDie Datenschutz-Folgenabschätzung für die Verarbeitungstätigkeit **{{VERARBEITUNG_TITEL}}** wurde gemäß Art. 35 DSGVO durchgeführt. Die identifizierten Risiken wurden bewertet und durch geeignete technische und organisatorische Maßnahmen auf ein akzeptables Niveau reduziert.\n\n### 7.2 Fazit\n\nDie geplante Verarbeitungstätigkeit kann unter Einhaltung der beschriebenen Maßnahmen durchgeführt werden. Die Verarbeitung ist notwendig, verhältnismäßig und rechtskonform.\n\n### 7.3 Überprüfungsintervall\n\nDiese DSFA ist spätestens alle **12 Monate** oder bei wesentlichen Änderungen der Verarbeitungstätigkeit zu überprüfen und ggf. zu aktualisieren.\n\n---\n\n## 8. Unterschriften\n\n| Rolle | Name | Datum | Unterschrift |\n|-------|------|-------|--------------|\n| Erstellt von | {{ERSTELLT_VON}} | {{ERSTELLT_AM}} | _________________ |\n{{IF GENEHMIGT_VON}}| Genehmigt von (DSB) | {{GENEHMIGT_VON}} | {{GENEHMIGT_AM}} | _________________ |\n{{/IF}}\n| Verantwortlicher | | | _________________ |\n\n---\n\n*Dieses Dokument wurde erstellt mit BreakPilot Compliance gemäß den Anforderungen der DSGVO (Verordnung (EU) 2016/679). Es ist vertraulich und intern zu behandeln.*'
) ON CONFLICT DO NOTHING;
Reference in New Issue View Git Blame Copy Permalink