Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
df5b6d69ef01ac71d83cff2942cf4d5987631d90
breakpilot-compliance/ai-compliance-sdk/policies/obligations/v2/dsgvo_v2.json
Benjamin Admin 38e278ee3c
All checks were successful
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / test-go-ai-compliance (push) Successful in 32s
Details
CI / test-python-backend-compliance (push) Successful in 29s
Details
CI / test-python-document-crawler (push) Successful in 20s
Details
CI / test-python-dsms-gateway (push) Successful in 18s
Details
feat(ucca): Pflichtendatenbank v2 (325 Obligations), Trigger-Engine, TOM-Control-Mapping 
- 9 Regulation-JSON-Dateien (DSGVO 80, AI Act 60, NIS2 40, BDSG 30, TTDSG 20, DSA 35, Data Act 25, EU-Maschinen 15, DORA 20)
- Condition-Tree-Engine fuer automatische Pflichtenselektion (all_of/any_of, 80+ Field-Paths)
- Generischer JSONRegulationModule-Loader mit YAML-Fallback
- Bidirektionales TOM-Control-Mapping (291 Obligation→Control, 92 Control→Obligation)
- Gap-Analyse-Engine (Compliance-%, Priority Actions, Domain Breakdown)
- ScopeDecision→UnifiedFacts Bridge fuer Auto-Profiling
- 4 neue API-Endpoints (assess-from-scope, tom-controls, gap-analysis, reverse-lookup)
- Frontend: Auto-Profiling Button, Regulation-Filter Chips, TOM-Panel, Gap-Analyse-View
- 18 Unit Tests (Condition Engine, v2 Loader, TOM Mapper)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-05 14:51:44 +01:00

4678 lines
123 KiB
JSON
Raw Blame History

{
"regulation": "dsgvo",
"regulation_full_name": "Datenschutz-Grundverordnung (EU) 2016/679",
"version": "1.0",
"obligations": [
{
"id": "DSGVO-OBL-001",
"title": "Verarbeitungsverzeichnis fuehren",
"description": "Fuehrung eines Verzeichnisses aller Verarbeitungstaetigkeiten mit Angabe der Zwecke, Kategorien betroffener Personen, Empfaenger, Uebermittlungen in Drittlaender und Loeschfristen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 30",
"title": "Verzeichnis von Verarbeitungstaetigkeiten",
"erwaegungsgrund": "EG 82"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 30 DSGVO"
},
{
"type": "erwaegungsgrund",
"ref": "EG 82"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 1"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Verarbeitungsverzeichnis",
"required": true
},
{
"name": "Regelmaessige Aktualisierung dokumentiert",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/vvt",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-002",
"title": "Technische und organisatorische Massnahmen (TOMs)",
"description": "Implementierung geeigneter technischer und organisatorischer Massnahmen zum Schutz personenbezogener Daten unter Beruecksichtigung des Stands der Technik.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 32",
"title": "Sicherheit der Verarbeitung",
"erwaegungsgrund": "EG 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 32 DSGVO"
},
{
"type": "erwaegungsgrund",
"ref": "EG 83"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 18"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "TOM-Dokumentation",
"required": true
},
{
"name": "Risikoanalyse",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.CRYPTO.01",
"TOM.CRYPTO.02",
"TOM.IAM.01",
"TOM.AC.01",
"TOM.NET.01"
],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-003",
"title": "Datenschutz-Folgenabschaetzung (DSFA)",
"description": "Durchfuehrung einer DSFA bei Verarbeitungsvorgaengen mit voraussichtlich hohem Risiko fuer die Rechte und Freiheiten natuerlicher Personen.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
},
{
"field": "data_protection.large_scale_processing",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 35",
"title": "Datenschutz-Folgenabschaetzung",
"erwaegungsgrund": "EG 84, 89-92"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 35 DSGVO"
},
{
"type": "erwaegungsgrund",
"ref": "EG 84"
},
{
"type": "edpb_guideline",
"ref": "EDPB Guidelines WP 248 rev.01"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Beginn der Verarbeitung"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "DSFA-Dokumentation",
"required": true
},
{
"name": "Risikobewertung",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.03"
],
"breakpilot_feature": "/sdk/dsfa",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-004",
"title": "Datenschutzbeauftragten benennen",
"description": "Benennung eines DSB bei oeffentlichen Stellen, systematischer Ueberwachung im grossen Umfang oder Verarbeitung besonderer Kategorien. In DE: ab 20 MA.",
"applies_when": "needs_dpo",
"applies_when_condition": {
"any_of": [
{
"field": "data_protection.needs_dpo",
"operator": "EQUALS",
"value": true
},
{
"field": "organization.employee_count",
"operator": "GREATER_THAN",
"value": 19
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 37",
"title": "Benennung eines Datenschutzbeauftragten",
"erwaegungsgrund": "EG 97"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 37 DSGVO"
},
{
"type": "article",
"ref": "§ 38 BDSG"
}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": {
"type": "event",
"trigger": "Ab Schwellenwert"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "DSB-Bestellung",
"required": true
},
{
"name": "Meldung an Aufsichtsbehoerde",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": "/sdk/dsb-portal",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-005",
"title": "Auftragsverarbeitungsvertrag (AVV)",
"description": "Abschluss eines AVV mit allen Auftragsverarbeitern gemaess Art. 28 Abs. 3 DSGVO.",
"applies_when": "uses_processors",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
},
{
"field": "data_protection.uses_processors",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 28",
"title": "Auftragsverarbeiter",
"erwaegungsgrund": "EG 81"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 28 DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 13"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Verarbeitung"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "AVV-Vertrag",
"required": true
},
{
"name": "TOM-Nachweis Auftragsverarbeiter",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.VENDOR.01",
"TOM.VENDOR.02"
],
"breakpilot_feature": "/sdk/vendor-compliance",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-006",
"title": "Informationspflichten erfuellen",
"description": "Information der betroffenen Personen ueber die Verarbeitung ihrer Daten bei Erhebung (Art. 13) oder nachtraeglich (Art. 14).",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 13",
"title": "Informationspflicht bei Erhebung",
"erwaegungsgrund": "EG 60-62"
},
{
"norm": "DSGVO",
"article": "Art. 14",
"title": "Informationspflicht bei Dritterhebung",
"erwaegungsgrund": "EG 60-62"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 13 DSGVO"
},
{
"type": "article",
"ref": "Art. 14 DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 10"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Bei Datenerhebung"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Datenschutzerklaerung",
"required": true
},
{
"name": "Informationsblaetter",
"required": false
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/policy-generator",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-007",
"title": "Betroffenenrechte umsetzen",
"description": "Einrichtung von Prozessen zur Bearbeitung von Betroffenenanfragen innerhalb von 1 Monat: Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenportabilitaet, Widerspruch.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 15-21",
"title": "Betroffenenrechte",
"erwaegungsgrund": "EG 63-73"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 15-21 DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 11"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "relative",
"interval": "1 Monat nach Anfrage"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "DSR-Prozess dokumentiert",
"required": true
},
{
"name": "Bearbeitungsprotokolle",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.DATA.01",
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/dsr",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-008",
"title": "Einwilligungen dokumentieren",
"description": "Nachweis gueltiger Einwilligungen: freiwillig, informiert, spezifisch, unmissverstaendlich, widerrufbar.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 7",
"title": "Bedingungen fuer die Einwilligung",
"erwaegungsgrund": "EG 32, 42-43"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 7 DSGVO"
},
{
"type": "edpb_guideline",
"ref": "EDPB Guidelines 05/2020"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Consent-Management-System",
"required": true
},
{
"name": "Einwilligungsprotokolle",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.02",
"TOM.DATA.01"
],
"breakpilot_feature": "/sdk/consent",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-009",
"title": "Loeschkonzept umsetzen",
"description": "Implementierung eines Loeschkonzepts mit definierten Aufbewahrungsfristen und automatisierten Loeschroutinen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 17",
"title": "Recht auf Loeschung",
"erwaegungsgrund": "EG 65-66"
},
{
"norm": "DSGVO",
"article": "Art. 5 Abs. 1 lit. e",
"title": "Speicherbegrenzung",
"erwaegungsgrund": "EG 39"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 17 DSGVO"
},
{
"type": "article",
"ref": "Art. 5 Abs. 1 lit. e DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 11"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Loeschkonzept",
"required": true
},
{
"name": "Loeschprotokolle",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.01",
"TOM.DATA.02"
],
"breakpilot_feature": "/sdk/loeschfristen",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-010",
"title": "Drittlandtransfer absichern",
"description": "Bei Uebermittlung in Drittlaender ohne Angemessenheitsbeschluss: SCCs, BCRs oder andere Garantien. Transfer Impact Assessment durchfuehren.",
"applies_when": "cross_border",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.cross_border_transfer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 44-49",
"title": "Uebermittlung in Drittlaender",
"erwaegungsgrund": "EG 101-114"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 44-49 DSGVO"
},
{
"type": "edpb_guideline",
"ref": "EDPB Recommendations 01/2020"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Uebermittlung"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "SCCs abgeschlossen",
"required": true
},
{
"name": "Transfer Impact Assessment",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.VENDOR.01",
"TOM.VENDOR.03"
],
"breakpilot_feature": "/sdk/vendor-compliance",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-011",
"title": "Meldeprozess Datenschutzverletzungen",
"description": "Etablierung eines Prozesses zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen innerhalb von 72 Stunden.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 33",
"title": "Meldung an Aufsichtsbehoerde",
"erwaegungsgrund": "EG 85-88"
},
{
"norm": "DSGVO",
"article": "Art. 34",
"title": "Benachrichtigung Betroffener",
"erwaegungsgrund": "EG 86-88"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 33 DSGVO"
},
{
"type": "article",
"ref": "Art. 34 DSGVO"
},
{
"type": "edpb_guideline",
"ref": "EDPB Guidelines 01/2021"
}
],
"category": "Meldepflicht",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "absolute",
"duration": "72 Stunden"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Breach-Notification-Prozess",
"required": true
},
{
"name": "Meldevorlage",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.OPS.01",
"TOM.OPS.02",
"TOM.LOG.01"
],
"breakpilot_feature": "/sdk/incident-response",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-012",
"title": "Rechtmaessigkeit der Verarbeitung sicherstellen",
"description": "Jede Verarbeitung muss auf einer Rechtsgrundlage nach Art. 6 Abs. 1 basieren. Dokumentation der Rechtsgrundlage pro Verarbeitungstaetigkeit.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 5 Abs. 1 lit. a",
"title": "Rechtmaessigkeit",
"erwaegungsgrund": "EG 39-40"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 5 Abs. 1 lit. a DSGVO"
},
{
"type": "article",
"ref": "Art. 6 DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Dokumentierte Rechtsgrundlagen",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/vvt",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-013",
"title": "Zweckbindung einhalten",
"description": "Personenbezogene Daten duerfen nur fuer festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer damit unvereinbaren Weise weiterverarbeitet werden.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 5 Abs. 1 lit. b",
"title": "Zweckbindung",
"erwaegungsgrund": "EG 39, 50"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 5 Abs. 1 lit. b DSGVO"
}
],
"category": "Governance",
"responsible": "Verantwortlicher",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Zweckdokumentation je Verarbeitung",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": "/sdk/vvt",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-014",
"title": "Datenminimierung umsetzen",
"description": "Nur solche personenbezogenen Daten erheben, die dem Zweck angemessen, erheblich und auf das notwendige Mass beschraenkt sind.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 5 Abs. 1 lit. c",
"title": "Datenminimierung",
"erwaegungsgrund": "EG 39"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 5 Abs. 1 lit. c DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Datenminimierungs-Konzept",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-015",
"title": "Richtigkeit der Daten gewaehrleisten",
"description": "Personenbezogene Daten muessen sachlich richtig und auf dem neuesten Stand sein. Unrichtige Daten sind unverzueglich zu berichtigen oder zu loeschen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 5 Abs. 1 lit. d",
"title": "Richtigkeit",
"erwaegungsgrund": "EG 39"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 5 Abs. 1 lit. d DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Verantwortlicher",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Datenqualitaetsprozess",
"required": true
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.DATA.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-016",
"title": "Rechenschaftspflicht erfuellen",
"description": "Der Verantwortliche muss die Einhaltung der Datenschutzgrundsaetze nachweisen koennen (Accountability).",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 5 Abs. 2",
"title": "Rechenschaftspflicht",
"erwaegungsgrund": "EG 74, 85"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 5 Abs. 2 DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 1"
}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Compliance-Dokumentation",
"required": true
},
{
"name": "Audit-Trail",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.02",
"TOM.LOG.01"
],
"breakpilot_feature": "/sdk/audit",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-017",
"title": "Interessenabwaegung bei berechtigtem Interesse",
"description": "Bei Verarbeitung auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f): dokumentierte Abwaegung zwischen Interessen des Verantwortlichen und der betroffenen Person.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 6 Abs. 1 lit. f",
"title": "Berechtigtes Interesse",
"erwaegungsgrund": "EG 47-49"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 6 Abs. 1 lit. f DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Verarbeitungsbeginn"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Interessenabwaegung dokumentiert",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-018",
"title": "Zweckaenderung pruefen",
"description": "Bei Weiterverarbeitung zu einem anderen Zweck: Vereinbarkeitstest nach Art. 6 Abs. 4 durchfuehren und dokumentieren.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 6 Abs. 4",
"title": "Vereinbarkeitstest",
"erwaegungsgrund": "EG 50"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 6 Abs. 4 DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Zweckaenderung"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Vereinbarkeitspruefung",
"required": true
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-019",
"title": "Besondere Kategorien schuetzen",
"description": "Verarbeitung besonderer Datenkategorien (Gesundheit, Biometrie, Religion, Ethnie, polit. Meinung, Gewerkschaft, Genetik, Sexualleben) grundsaetzlich untersagt — Ausnahmen nur nach Art. 9 Abs. 2.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
},
{
"field": "data_protection.processes_special_categories",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 9 Abs. 1",
"title": "Besondere Kategorien",
"erwaegungsgrund": "EG 51-56"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 9 DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 17"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Verarbeitung"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Ausnahmetatbestand dokumentiert",
"required": true
},
{
"name": "DSFA bei Hochrisiko",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.CRYPTO.01",
"TOM.AC.01"
],
"breakpilot_feature": "/sdk/dsfa",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-020",
"title": "Gesundheitsdaten besonders schuetzen",
"description": "Verarbeitung von Gesundheitsdaten erfordert zusaetzliche Schutzmassnahmen: Verschluesselung, Zugriffsbeschraenkung, Protokollierung.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_health_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 9 Abs. 2",
"title": "Ausnahmen besondere Kategorien",
"erwaegungsgrund": "EG 53-54"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 9 Abs. 2 DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Schutzkonzept Gesundheitsdaten",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.CRYPTO.01",
"TOM.CRYPTO.02",
"TOM.AC.01",
"TOM.LOG.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-021",
"title": "Verarbeitung von Straftaten-Daten einschraenken",
"description": "Verarbeitung von personenbezogenen Daten ueber strafrechtliche Verurteilungen nur unter behoerdlicher Aufsicht oder nach nationalem Recht.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 10",
"title": "Straftaten und Verurteilungen",
"erwaegungsgrund": "EG 19"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 10 DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Rechtsgrundlage fuer Straftaten-Verarbeitung",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.AC.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-022",
"title": "Transparente Kommunikation gewaehrleisten",
"description": "Alle Informationen und Mitteilungen in praeizser, transparenter, verstaendlicher und leicht zugaenglicher Form in klarer und einfacher Sprache.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 12",
"title": "Transparente Information",
"erwaegungsgrund": "EG 58-59"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 12 DSGVO"
},
{
"type": "edpb_guideline",
"ref": "EDPB Guidelines on Transparency"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Verstaendliche Datenschutzerklaerungen",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/policy-generator",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-023",
"title": "Informationspflicht bei Dritterhebung (Art. 14)",
"description": "Wenn Daten nicht bei der betroffenen Person erhoben werden: Information innerhalb angemessener Frist, spaetestens nach einem Monat.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 14",
"title": "Informationspflicht bei Dritterhebung",
"erwaegungsgrund": "EG 61-62"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 14 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "relative",
"interval": "1 Monat nach Erhebung"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Informationsschreiben Dritterhebung",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.02"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-024",
"title": "Auskunftsrecht umsetzen (Art. 15)",
"description": "Betroffene haben das Recht auf Auskunft, ob und welche Daten verarbeitet werden inkl. Kopie. Antwort innerhalb 1 Monat.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 15",
"title": "Auskunftsrecht",
"erwaegungsgrund": "EG 63"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 15 DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 6"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "relative",
"interval": "1 Monat"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Auskunftsprozess dokumentiert",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.01",
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/dsr",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-025",
"title": "Recht auf Berichtigung umsetzen (Art. 16)",
"description": "Betroffene haben das Recht auf unverzuegliche Berichtigung unrichtiger Daten und Vervollstaendigung unvollstaendiger Daten.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 16",
"title": "Recht auf Berichtigung",
"erwaegungsgrund": "EG 65"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 16 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Verantwortlicher",
"deadline": {
"type": "relative",
"interval": "unverzueglich"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Berichtigungsprozess",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.01"
],
"breakpilot_feature": "/sdk/dsr",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-026",
"title": "Recht auf Loeschung umsetzen (Art. 17)",
"description": "Loeschung auf Anfrage wenn Zweck entfallen, Einwilligung widerrufen, Widerspruch, unrechtmaessige Verarbeitung. Informationspflicht an Empfaenger.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 17",
"title": "Recht auf Loeschung",
"erwaegungsgrund": "EG 65-66"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 17 DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 11"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "relative",
"interval": "unverzueglich"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Loeschprozess dokumentiert",
"required": true
},
{
"name": "Empfaenger-Benachrichtigungsprozess",
"required": false
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.01",
"TOM.DATA.02"
],
"breakpilot_feature": "/sdk/loeschfristen",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-027",
"title": "Recht auf Einschraenkung der Verarbeitung (Art. 18)",
"description": "Einschraenkung der Verarbeitung bei Bestreitung der Richtigkeit, unrechtmaessiger Verarbeitung, oder Widerspruch. Markierung und getrennte Speicherung.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 18",
"title": "Recht auf Einschraenkung",
"erwaegungsgrund": "EG 67"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 18 DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "relative",
"interval": "unverzueglich"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Einschraenkungsmechanismus implementiert",
"required": true
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.DATA.01",
"TOM.AC.01"
],
"breakpilot_feature": "/sdk/dsr",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-028",
"title": "Mitteilungspflicht an Empfaenger (Art. 19)",
"description": "Bei Berichtigung, Loeschung oder Einschraenkung: Mitteilung an jeden Empfaenger, dem die Daten offengelegt wurden.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
},
{
"field": "data_protection.uses_processors",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 19",
"title": "Mitteilungspflicht",
"erwaegungsgrund": "EG 66"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 19 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Nach Berichtigung/Loeschung"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Empfaengerliste",
"required": true
},
{
"name": "Benachrichtigungsnachweis",
"required": false
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.DATA.01",
"TOM.VENDOR.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-029",
"title": "Recht auf Datenportabilitaet umsetzen (Art. 20)",
"description": "Bereitstellung personenbezogener Daten in strukturiertem, gaengigem, maschinenlesbarem Format. Recht auf direkte Uebermittlung an anderen Verantwortlichen.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 20",
"title": "Recht auf Datenportabilitaet",
"erwaegungsgrund": "EG 68"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 20 DSGVO"
},
{
"type": "edpb_guideline",
"ref": "EDPB Guidelines WP 242 rev.01"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "relative",
"interval": "1 Monat"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Export-Funktion implementiert",
"required": true
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.DATA.01"
],
"breakpilot_feature": "/sdk/dsr",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-030",
"title": "Widerspruchsrecht umsetzen (Art. 21)",
"description": "Widerspruchsrecht bei Verarbeitung auf Grundlage berechtigter Interessen oder oeffentlicher Aufgabe. Bei Direktwerbung: sofortige Einstellung.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 21",
"title": "Widerspruchsrecht",
"erwaegungsgrund": "EG 69-70"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 21 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Nach Widerspruch"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Widerspruchsprozess dokumentiert",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.01",
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/dsr",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-031",
"title": "Automatisierte Einzelentscheidungen schuetzen (Art. 22)",
"description": "Recht, nicht einer ausschliesslich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu sein, die rechtliche Wirkung entfaltet oder erheblich beeintraechtigt.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 22",
"title": "Automatisierte Einzelentscheidung",
"erwaegungsgrund": "EG 71-72"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 22 DSGVO"
},
{
"type": "edpb_guideline",
"ref": "EDPB Guidelines WP 251 rev.01"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Human-in-the-Loop-Prozess",
"required": true
},
{
"name": "Erklaerbarkeit der Entscheidung",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.03",
"TOM.LOG.01"
],
"breakpilot_feature": "/sdk/ai-act",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-032",
"title": "Geeignete Massnahmen umsetzen (Art. 24)",
"description": "Unter Beruecksichtigung von Art, Umfang, Umstaenden und Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken geeignete Massnahmen umsetzen.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 24",
"title": "Verantwortung des Verantwortlichen",
"erwaegungsgrund": "EG 74-77"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 24 DSGVO"
}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Datenschutzmanagement-System",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.02",
"TOM.GOV.03"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-033",
"title": "Datenschutz durch Technikgestaltung (Privacy by Design)",
"description": "Technische und organisatorische Massnahmen (z.B. Pseudonymisierung) bereits bei der Konzeption der Verarbeitung implementieren.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 25 Abs. 1",
"title": "Datenschutz durch Technikgestaltung",
"erwaegungsgrund": "EG 78"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 25 Abs. 1 DSGVO"
},
{
"type": "edpb_guideline",
"ref": "EDPB Guidelines 4/2019"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "event",
"trigger": "Bei System-Entwicklung"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Privacy-by-Design-Konzept",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.SDLC.01",
"TOM.SDLC.02"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-034",
"title": "Datenschutzfreundliche Voreinstellungen (Privacy by Default)",
"description": "Voreinstellungen muessen sicherstellen, dass nur fuer den Zweck erforderliche Daten verarbeitet werden (Menge, Umfang, Speicherfrist, Zugaenglichkeit).",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 25 Abs. 2",
"title": "Datenschutzfreundliche Voreinstellungen",
"erwaegungsgrund": "EG 78"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 25 Abs. 2 DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "event",
"trigger": "Bei System-Entwicklung"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Default-Settings-Dokumentation",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.SDLC.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-035",
"title": "Gemeinsame Verantwortlichkeit regeln (Art. 26)",
"description": "Bei gemeinsam Verantwortlichen: transparente Vereinbarung ueber Pflichten, Informationspflichten und Anlaufstelle fuer Betroffene.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 26",
"title": "Gemeinsam Verantwortliche",
"erwaegungsgrund": "EG 79"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 26 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"deadline": {
"type": "event",
"trigger": "Vor gemeinsamer Verarbeitung"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Joint-Controller-Agreement",
"required": true
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.VENDOR.01"
],
"breakpilot_feature": "/sdk/vendor-compliance",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-036",
"title": "EU-Vertreter benennen (Art. 27)",
"description": "Nicht in der EU niedergelassene Verantwortliche/Auftragsverarbeiter muessen einen Vertreter in der EU benennen.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 27",
"title": "Vertreter",
"erwaegungsgrund": "EG 80"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 27 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"deadline": {
"type": "event",
"trigger": "Bei Verarbeitung aus Drittstaat"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Vertreter-Benennung",
"required": true
}
],
"priority": "niedrig",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-037",
"title": "Unterauftragsverarbeiter genehmigen (Art. 28 Abs. 2)",
"description": "Auftragsverarbeiter darf ohne vorherige schriftliche Genehmigung keinen weiteren Auftragsverarbeiter einsetzen.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
},
{
"field": "data_protection.uses_processors",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 28 Abs. 2",
"title": "Unterauftragsverarbeiter",
"erwaegungsgrund": "EG 81"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 28 Abs. 2 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Einsatz Unterauftragsverarbeiter"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Genehmigungsprozess dokumentiert",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.VENDOR.01",
"TOM.VENDOR.02"
],
"breakpilot_feature": "/sdk/vendor-compliance",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-038",
"title": "AVV-Mindestinhalt sicherstellen (Art. 28 Abs. 3)",
"description": "AVV muss enthalten: Gegenstand, Dauer, Art, Zweck, Datenkategorien, Betroffene, Pflichten und Rechte des Verantwortlichen.",
"applies_when": "uses_processors",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.uses_processors",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 28 Abs. 3",
"title": "Auftragsverarbeitungsvertrag Inhalt",
"erwaegungsgrund": "EG 81"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 28 Abs. 3 DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 13"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Verarbeitung"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "AVV mit vollstaendigem Inhalt",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.VENDOR.01",
"TOM.VENDOR.02"
],
"breakpilot_feature": "/sdk/vendor-compliance",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-039",
"title": "Weisungsgebundenheit Auftragsverarbeiter (Art. 29)",
"description": "Auftragsverarbeiter und dessen Mitarbeiter duerfen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.",
"applies_when": "uses_processors",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.uses_processors",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 29",
"title": "Verarbeitung unter Aufsicht",
"erwaegungsgrund": "EG 81"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 29 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Verantwortlicher",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Weisungsdokumentation",
"required": true
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.VENDOR.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-040",
"title": "VVT-Pflichtinhalt sicherstellen (Art. 30 Abs. 1)",
"description": "Das Verzeichnis muss enthalten: Name/Kontakt Verantwortlicher, Zwecke, Kategorien betroffener Personen/Daten, Empfaenger, Drittland-Uebermittlungen, Loeschfristen, TOM-Beschreibung.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 30 Abs. 1",
"title": "VVT Verantwortlicher",
"erwaegungsgrund": "EG 82"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 30 Abs. 1 DSGVO"
},
{
"type": "dsk_kurzpapier",
"ref": "DSK KP Nr. 1"
}
],
"category": "Dokumentation",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Vollstaendiges VVT",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/vvt",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-041",
"title": "VVT Auftragsverarbeiter fuehren (Art. 30 Abs. 2)",
"description": "Auch Auftragsverarbeiter muessen ein Verzeichnis aller Verarbeitungstaetigkeiten fuehren.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_processor",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 30 Abs. 2",
"title": "VVT Auftragsverarbeiter",
"erwaegungsgrund": "EG 82"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 30 Abs. 2 DSGVO"
}
],
"category": "Dokumentation",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "VVT Auftragsverarbeiter",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": "/sdk/vvt",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-042",
"title": "Pseudonymisierung und Verschluesselung einsetzen (Art. 32 Abs. 1a)",
"description": "Geeignete Pseudonymisierung und Verschluesselung personenbezogener Daten als Sicherheitsmassnahme.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 32 Abs. 1 lit. a",
"title": "Pseudonymisierung und Verschluesselung",
"erwaegungsgrund": "EG 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 32 Abs. 1 lit. a DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Verschluesselungskonzept",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.CRYPTO.01",
"TOM.CRYPTO.02",
"TOM.CRYPTO.03"
],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-043",
"title": "Vertraulichkeit, Integritaet, Verfuegbarkeit sicherstellen (Art. 32 Abs. 1b)",
"description": "Faehigkeit, die Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Verarbeitungssysteme und Dienste auf Dauer sicherzustellen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 32 Abs. 1 lit. b",
"title": "CIA+Belastbarkeit",
"erwaegungsgrund": "EG 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 32 Abs. 1 lit. b DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "CIA-Schutzmassnahmen dokumentiert",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.NET.01",
"TOM.NET.02",
"TOM.BCP.01"
],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-044",
"title": "Wiederherstellbarkeit sicherstellen (Art. 32 Abs. 1c)",
"description": "Faehigkeit, die Verfuegbarkeit und den Zugang zu Daten bei einem Zwischenfall rasch wiederherzustellen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 32 Abs. 1 lit. c",
"title": "Wiederherstellbarkeit",
"erwaegungsgrund": "EG 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 32 Abs. 1 lit. c DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Backup-Konzept",
"required": true
},
{
"name": "Wiederherstellungstests",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.BCP.01",
"TOM.BCP.02",
"TOM.BCP.03"
],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-045",
"title": "Regelmaessige Ueberpruefung der TOMs (Art. 32 Abs. 1d)",
"description": "Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 32 Abs. 1 lit. d",
"title": "Regelmaessige Ueberpruefung",
"erwaegungsgrund": "EG 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 32 Abs. 1 lit. d DSGVO"
}
],
"category": "Audit",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "jaehrlich"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "TOM-Audit-Berichte",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.03",
"TOM.OPS.03"
],
"breakpilot_feature": "/sdk/audit",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-046",
"title": "72-Stunden-Meldepflicht an Aufsichtsbehoerde (Art. 33)",
"description": "Meldung einer Datenschutzverletzung an die Aufsichtsbehoerde innerhalb von 72 Stunden nach Bekanntwerden, es sei denn voraussichtlich kein Risiko.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 33",
"title": "Meldung an Aufsichtsbehoerde",
"erwaegungsgrund": "EG 85-88"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 33 DSGVO"
},
{
"type": "edpb_guideline",
"ref": "EDPB Guidelines 01/2021"
}
],
"category": "Meldepflicht",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "absolute",
"duration": "72 Stunden"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Meldeprozess dokumentiert",
"required": true
},
{
"name": "Meldeformular",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.OPS.01",
"TOM.OPS.02"
],
"breakpilot_feature": "/sdk/incident-response",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-047",
"title": "Benachrichtigung Betroffener bei hohem Risiko (Art. 34)",
"description": "Bei hohem Risiko: unverzuegliche Benachrichtigung der betroffenen Personen in klarer und einfacher Sprache.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 34",
"title": "Benachrichtigung Betroffener",
"erwaegungsgrund": "EG 86-88"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 34 DSGVO"
}
],
"category": "Meldepflicht",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "unverzueglich bei hohem Risiko"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Benachrichtigungsvorlage",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.OPS.01"
],
"breakpilot_feature": "/sdk/incident-response",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-048",
"title": "DSFA bei systematischer Ueberwachung (Art. 35 Abs. 3a)",
"description": "DSFA ist insbesondere erforderlich bei systematischer und umfassender Bewertung persoenlicher Aspekte natuerlicher Personen (Profiling).",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
},
{
"field": "ai_usage.uses_ai",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 35 Abs. 3 lit. a",
"title": "DSFA Profiling",
"erwaegungsgrund": "EG 91"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 35 Abs. 3 lit. a DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Verarbeitung"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "DSFA zu Profiling",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.03"
],
"breakpilot_feature": "/sdk/dsfa",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-049",
"title": "DSFA bei Ueberwachung oeffentlicher Bereiche (Art. 35 Abs. 3c)",
"description": "DSFA bei systematischer umfangreicher Ueberwachung oeffentlich zugaenglicher Bereiche (z.B. Videoueberwachung).",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.uses_video_surveillance",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 35 Abs. 3 lit. c",
"title": "DSFA Ueberwachung",
"erwaegungsgrund": "EG 91"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 35 Abs. 3 lit. c DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Ueberwachung"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "DSFA Videoueberwachung",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.03"
],
"breakpilot_feature": "/sdk/dsfa",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-050",
"title": "Konsultation der Aufsichtsbehoerde (Art. 36)",
"description": "Wenn DSFA ergibt, dass hohes Risiko verbleibt: vorherige Konsultation der Aufsichtsbehoerde vor Verarbeitungsbeginn.",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
},
{
"field": "data_protection.large_scale_processing",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 36",
"title": "Vorherige Konsultation",
"erwaegungsgrund": "EG 94-96"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 36 DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Bei hohem Restrisiko"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Konsultationsnachweis",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": "/sdk/dsfa",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-051",
"title": "DSB-Stellung sicherstellen (Art. 38)",
"description": "Der DSB muss ordnungsgemaess und fruehzeitig eingebunden werden, Ressourcen erhalten und darf nicht abberufen oder benachteiligt werden.",
"applies_when": "needs_dpo",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.needs_dpo",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 38",
"title": "Stellung des DSB",
"erwaegungsgrund": "EG 97"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 38 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "DSB-Einbindungsnachweis",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": "/sdk/dsb-portal",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-052",
"title": "DSB-Aufgaben gewaehrleisten (Art. 39)",
"description": "DSB muss mindestens: Unterrichtung/Beratung, Ueberwachung der Einhaltung, Beratung bei DSFA, Zusammenarbeit mit Aufsichtsbehoerde, Anlaufstelle fuer Betroffene.",
"applies_when": "needs_dpo",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.needs_dpo",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 39",
"title": "Aufgaben des DSB",
"erwaegungsgrund": "EG 97"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 39 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "DSB-Taetigkeitsbericht",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": "/sdk/dsb-portal",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-053",
"title": "Verhaltensregeln pruefen und einhalten (Art. 40)",
"description": "Pruefung ob branchenspezifische Verhaltensregeln vorliegen und Einhaltung ggf. nachweisen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 40",
"title": "Verhaltensregeln",
"erwaegungsgrund": "EG 98-99"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 40 DSGVO"
}
],
"category": "Compliance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "jaehrlich"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Verhaltensregeln-Pruefung",
"required": false
}
],
"priority": "niedrig",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-054",
"title": "Datenschutz-Zertifizierung pruefen (Art. 42)",
"description": "Pruefung, ob Datenschutz-Zertifizierungsverfahren in Anspruch genommen werden koennen, um Compliance nachzuweisen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 42",
"title": "Zertifizierung",
"erwaegungsgrund": "EG 100"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 42 DSGVO"
}
],
"category": "Compliance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "jaehrlich"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Zertifizierungspruefung",
"required": false
}
],
"priority": "niedrig",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.03"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-055",
"title": "Angemessenheitsbeschluss pruefen (Art. 45)",
"description": "Vor Drittlandtransfer: Pruefen ob ein Angemessenheitsbeschluss der EU-Kommission vorliegt.",
"applies_when": "cross_border",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.cross_border_transfer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 45",
"title": "Angemessenheitsbeschluss",
"erwaegungsgrund": "EG 103-107"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 45 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Transfer"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Angemessenheitspruefung dokumentiert",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.VENDOR.01",
"TOM.VENDOR.03"
],
"breakpilot_feature": "/sdk/vendor-compliance",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-056",
"title": "Standardvertragsklauseln abschliessen (Art. 46)",
"description": "Ohne Angemessenheitsbeschluss: geeignete Garantien wie EU-Standardvertragsklauseln (SCCs) oder BCRs.",
"applies_when": "cross_border",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.cross_border_transfer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 46",
"title": "Geeignete Garantien",
"erwaegungsgrund": "EG 108-110"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 46 DSGVO"
},
{
"type": "edpb_guideline",
"ref": "EDPB Recommendations 01/2020"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Transfer ohne Angemessenheitsbeschluss"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "SCCs oder BCRs abgeschlossen",
"required": true
},
{
"name": "Transfer Impact Assessment",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.VENDOR.01",
"TOM.VENDOR.03"
],
"breakpilot_feature": "/sdk/vendor-compliance",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-057",
"title": "Verbindliche interne Datenschutzvorschriften (BCR) (Art. 47)",
"description": "Bei Konzerntransfers: Pruefung und ggf. Implementierung verbindlicher interner Datenschutzvorschriften (Binding Corporate Rules).",
"applies_when": "cross_border",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.cross_border_transfer",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 47",
"title": "BCR",
"erwaegungsgrund": "EG 110"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 47 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Geschaeftsfuehrung",
"deadline": {
"type": "event",
"trigger": "Bei Konzern-Drittlandtransfer"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "BCR-Dokumentation",
"required": false
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.VENDOR.03"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-058",
"title": "DSFA bei besonderer Datenkategorien-Massenverarbeitung (Art. 35 Abs. 3b)",
"description": "DSFA ist insbesondere erforderlich bei umfangreicher Verarbeitung besonderer Datenkategorien (Art. 9) oder Straftaten-Daten (Art. 10).",
"applies_when": "high_risk",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
},
{
"field": "data_protection.processes_special_categories",
"operator": "EQUALS",
"value": true
},
{
"field": "data_protection.large_scale_processing",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 35 Abs. 3 lit. b",
"title": "DSFA besondere Kategorien",
"erwaegungsgrund": "EG 91"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 35 Abs. 3 lit. b DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Verarbeitung"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "DSFA fuer besondere Kategorien",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.03"
],
"breakpilot_feature": "/sdk/dsfa",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-059",
"title": "Beschaeftigtendaten schuetzen",
"description": "Verarbeitung von Beschaeftigtendaten nur im Rahmen von § 26 BDSG: fuer Begruendung, Durchfuehrung oder Beendigung des Beschaeftigungsverhaeltnisses.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_employee_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 88",
"title": "Beschaeftigtendatenschutz",
"erwaegungsgrund": "EG 155"
},
{
"norm": "BDSG",
"article": "§ 26",
"title": "Beschaeftigtendatenschutz"
}
],
"sources": [
{
"type": "article",
"ref": "§ 26 BDSG"
},
{
"type": "article",
"ref": "Art. 88 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Personalleitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Beschaeftigtendatenschutz-Konzept",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.HR.01",
"TOM.HR.02",
"TOM.AC.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-060",
"title": "Datenschutz-Schulungen durchfuehren",
"description": "Regelmaessige Schulung aller Mitarbeiter, die personenbezogene Daten verarbeiten, zu Datenschutzpflichten und -risiken.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 39 Abs. 1 lit. b",
"title": "Sensibilisierung und Schulung",
"erwaegungsgrund": "EG 97"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 39 Abs. 1 lit. b DSGVO"
}
],
"category": "Schulung",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "jaehrlich"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Schulungsnachweise",
"required": true
},
{
"name": "Schulungsplan",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.HR.01",
"TOM.HR.02"
],
"breakpilot_feature": "/sdk/training",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-061",
"title": "Vertraulichkeitsverpflichtung der Mitarbeiter",
"description": "Alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, auf Vertraulichkeit verpflichten.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 28 Abs. 3 lit. b",
"title": "Vertraulichkeit",
"erwaegungsgrund": "EG 81, 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 28 Abs. 3 lit. b DSGVO"
},
{
"type": "article",
"ref": "Art. 29 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Personalleitung",
"deadline": {
"type": "event",
"trigger": "Bei Eintritt"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Vertraulichkeitserklaerungen",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.HR.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-062",
"title": "Cookie-Einwilligung einholen",
"description": "Einholung informierter Einwilligung vor dem Setzen nicht-essentieller Cookies und Tracking-Technologien.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.uses_cookies",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 6 Abs. 1 lit. a",
"title": "Einwilligung",
"erwaegungsgrund": "EG 32"
},
{
"norm": "TTDSG",
"article": "§ 25",
"title": "Endeinrichtungen"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 6 Abs. 1 lit. a DSGVO"
},
{
"type": "article",
"ref": "§ 25 TTDSG"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "event",
"trigger": "Vor Cookie-Setzung"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Cookie-Banner implementiert",
"required": true
},
{
"name": "Consent-Dokumentation",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.02",
"TOM.DATA.01"
],
"breakpilot_feature": "/sdk/cookie-banner",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-063",
"title": "Datenschutz fuer Plattform-Nutzer",
"description": "Plattformbetreiber muessen sicherstellen, dass die Datenschutzrechte aller Plattform-Nutzer gewaehrleistet sind.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.operates_platform",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 24",
"title": "Verantwortung",
"erwaegungsgrund": "EG 74-77"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 24 DSGVO"
}
],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Plattform-Datenschutzkonzept",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.02"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-064",
"title": "Datenschutzerklaerung bereitstellen",
"description": "Umfassende Datenschutzerklaerung auf der Website, leicht zugaenglich, in verstaendlicher Sprache.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 13",
"title": "Informationspflicht",
"erwaegungsgrund": "EG 58-62"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 13 DSGVO"
},
{
"type": "article",
"ref": "Art. 12 DSGVO"
}
],
"category": "Dokumentation",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Datenschutzerklaerung online",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/policy-generator",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-065",
"title": "Kinderdaten besonders schuetzen (Art. 8)",
"description": "Bei Angebot von Diensten der Informationsgesellschaft an Kinder: Einwilligung ab 16 Jahre (DE), darunter Einwilligung/Genehmigung der Eltern.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_children_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 8",
"title": "Einwilligung eines Kindes",
"erwaegungsgrund": "EG 38"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 8 DSGVO"
},
{
"type": "erwaegungsgrund",
"ref": "EG 38"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Vor Datenerhebung von Kindern"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Altersverifikation implementiert",
"required": true
},
{
"name": "Eltern-Einwilligungsprozess",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.02",
"TOM.AC.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-066",
"title": "Finanzdaten angemessen schuetzen",
"description": "Verarbeitung von Finanzdaten (Kontonummern, Kreditkarten, Gehalt) erfordert besondere Schutzmassnahmen inkl. Verschluesselung und Zugriffsbeschraenkung.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_financial_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 32",
"title": "Sicherheit der Verarbeitung",
"erwaegungsgrund": "EG 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 32 DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Schutzkonzept Finanzdaten",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.CRYPTO.01",
"TOM.CRYPTO.02",
"TOM.AC.01",
"TOM.LOG.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-067",
"title": "Biometrische Daten besonders schuetzen",
"description": "Verarbeitung biometrischer Daten zur eindeutigen Identifizierung unterliegt dem Verbot des Art. 9 — Ausnahme nur bei ausdruecklicher Einwilligung oder gesetzlicher Grundlage.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_biometric_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 9",
"title": "Besondere Kategorien",
"erwaegungsgrund": "EG 51-56"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 9 DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Biometrie-Schutzkonzept",
"required": true
},
{
"name": "Einwilligungsnachweis",
"required": true
}
],
"priority": "kritisch",
"tom_control_ids": [
"TOM.CRYPTO.01",
"TOM.AC.01",
"TOM.LOG.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-068",
"title": "Aufbewahrungsfristen dokumentieren",
"description": "Fuer jede Datenkategorie muessen die Aufbewahrungsfristen dokumentiert und begruendet sein.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 5 Abs. 1 lit. e",
"title": "Speicherbegrenzung",
"erwaegungsgrund": "EG 39"
},
{
"norm": "DSGVO",
"article": "Art. 13 Abs. 2 lit. a",
"title": "Speicherdauer Informationspflicht"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 5 Abs. 1 lit. e DSGVO"
}
],
"category": "Dokumentation",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Aufbewahrungsfristenverzeichnis",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.DATA.01",
"TOM.DATA.02"
],
"breakpilot_feature": "/sdk/loeschfristen",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-069",
"title": "Interne Dokumentation von Datenpannen",
"description": "Alle Datenschutzverletzungen (auch nicht meldepflichtige) intern dokumentieren mit Fakten, Auswirkungen und ergriffenen Abhilfemassnahmen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 33 Abs. 5",
"title": "Dokumentation Datenpannen",
"erwaegungsgrund": "EG 87"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 33 Abs. 5 DSGVO"
}
],
"category": "Dokumentation",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Nach jeder Datenpanne"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Datenpannen-Register",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.OPS.01",
"TOM.OPS.02",
"TOM.LOG.01"
],
"breakpilot_feature": "/sdk/incident-response",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-070",
"title": "Zugriffsprotokolle fuehren",
"description": "Protokollierung aller Zugriffe auf personenbezogene Daten zur Nachvollziehbarkeit und Missbrauchserkennung.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 5 Abs. 2",
"title": "Rechenschaftspflicht",
"erwaegungsgrund": "EG 74"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 5 Abs. 2 DSGVO"
},
{
"type": "article",
"ref": "Art. 32 DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Zugriffsprotokollierung aktiv",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.LOG.01",
"TOM.LOG.02"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-071",
"title": "Regelmaessige Risikobewertung durchfuehren",
"description": "Regelmaessige Bewertung der mit der Verarbeitung verbundenen Risiken fuer die Rechte und Freiheiten natuerlicher Personen.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 24 Abs. 1",
"title": "Risikobewertung",
"erwaegungsgrund": "EG 74-77"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 24 Abs. 1 DSGVO"
}
],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "jaehrlich"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Risikobewertungsbericht",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.01",
"TOM.GOV.03"
],
"breakpilot_feature": "/sdk/risk-assessment",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-072",
"title": "Zusammenarbeit mit Aufsichtsbehoerde (Art. 31)",
"description": "Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehoerde zusammen.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 31",
"title": "Zusammenarbeit mit Aufsichtsbehoerde",
"erwaegungsgrund": "EG 82"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 31 DSGVO"
}
],
"category": "Compliance",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "event",
"trigger": "Auf Anfrage"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Kooperationsprozess dokumentiert",
"required": false
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-073",
"title": "Beschwerderecht informieren (Art. 77)",
"description": "Betroffene Personen ueber ihr Recht auf Beschwerde bei einer Aufsichtsbehoerde informieren.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.is_controller",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 77",
"title": "Recht auf Beschwerde",
"erwaegungsgrund": "EG 141"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 77 DSGVO"
}
],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Beschwerdehinweis in Datenschutzerklaerung",
"required": true
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.GOV.02"
],
"breakpilot_feature": "/sdk/policy-generator",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-074",
"title": "Haftung und Schadenersatz beachten (Art. 82)",
"description": "Bei Verstoessen gegen die DSGVO: Recht der betroffenen Person auf Schadenersatz (materiell und immateriell).",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 82",
"title": "Recht auf Schadenersatz",
"erwaegungsgrund": "EG 146-147"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 82 DSGVO"
}
],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "Zivilrechtlicher Schadenersatz"
},
"evidence": [
{
"name": "Haftungsrisiko-Bewertung",
"required": false
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.GOV.01"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-075",
"title": "Datenschutz-Audit durchfuehren",
"description": "Regelmaessige interne oder externe Audits zur Ueberpruefung der Datenschutz-Compliance.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 5 Abs. 2",
"title": "Rechenschaftspflicht",
"erwaegungsgrund": "EG 74"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 5 Abs. 2 DSGVO"
}
],
"category": "Audit",
"responsible": "Datenschutzbeauftragter",
"deadline": {
"type": "recurring",
"interval": "jaehrlich"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Audit-Bericht",
"required": true
},
{
"name": "Massnahmenplan",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.03",
"TOM.OPS.03"
],
"breakpilot_feature": "/sdk/audit",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-076",
"title": "Datensicherung implementieren",
"description": "Regelmaessige Datensicherung (Backup) personenbezogener Daten mit Wiederherstellungstests.",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 32 Abs. 1 lit. c",
"title": "Wiederherstellbarkeit",
"erwaegungsgrund": "EG 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 32 Abs. 1 lit. c DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "taeglich"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Backup-Konzept",
"required": true
},
{
"name": "Wiederherstellungstests",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.BCP.01",
"TOM.BCP.02"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-077",
"title": "Netzwerksicherheit gewaehrleisten",
"description": "Schutz der Netzwerke, ueber die personenbezogene Daten uebertragen werden (Firewalls, IDS/IPS, Segmentierung).",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 32",
"title": "Sicherheit der Verarbeitung",
"erwaegungsgrund": "EG 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 32 DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Netzwerksicherheitskonzept",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.NET.01",
"TOM.NET.02",
"TOM.NET.03"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-078",
"title": "Physische Zutrittskontrolle",
"description": "Schutz der Raeumlichkeiten, in denen personenbezogene Daten verarbeitet werden (Zutrittskontrolle, Serverraeume).",
"applies_when": "always",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.processes_personal_data",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 32",
"title": "Sicherheit der Verarbeitung",
"erwaegungsgrund": "EG 83"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 32 DSGVO"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "recurring",
"interval": "laufend"
},
"sanctions": {
"max_fine": "10 Mio. EUR oder 2% Jahresumsatz"
},
"evidence": [
{
"name": "Zutrittskontrollkonzept",
"required": true
}
],
"priority": "mittel",
"tom_control_ids": [
"TOM.AC.01",
"TOM.AC.02"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-079",
"title": "Tracking-Technologien absichern",
"description": "Einsatz von Tracking und Analyse-Tools nur mit gultiger Einwilligung. Transparente Information ueber Art und Umfang des Trackings.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.uses_tracking",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 6 Abs. 1 lit. a",
"title": "Einwilligung",
"erwaegungsgrund": "EG 32"
},
{
"norm": "TTDSG",
"article": "§ 25",
"title": "Endeinrichtungen"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 6 Abs. 1 lit. a DSGVO"
},
{
"type": "article",
"ref": "§ 25 TTDSG"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "event",
"trigger": "Vor Tracking-Einsatz"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Tracking-Einwilligung eingeholt",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.GOV.02",
"TOM.DATA.01"
],
"breakpilot_feature": "/sdk/cookie-banner",
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
},
{
"id": "DSGVO-OBL-080",
"title": "Videoueberwachung datenschutzkonform gestalten",
"description": "Videoueberwachung nur mit Rechtsgrundlage, Beschilderung, Speicherfristenbegrenzung und Zugriffskontrolle.",
"applies_when": "controller",
"applies_when_condition": {
"all_of": [
{
"field": "data_protection.uses_video_surveillance",
"operator": "EQUALS",
"value": true
}
]
},
"legal_basis": [
{
"norm": "DSGVO",
"article": "Art. 6 Abs. 1 lit. f",
"title": "Berechtigtes Interesse",
"erwaegungsgrund": "EG 47"
},
{
"norm": "BDSG",
"article": "§ 4",
"title": "Videoueberwachung"
}
],
"sources": [
{
"type": "article",
"ref": "Art. 6 Abs. 1 lit. f DSGVO"
},
{
"type": "article",
"ref": "§ 4 BDSG"
}
],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": {
"type": "event",
"trigger": "Vor Ueberwachungsbeginn"
},
"sanctions": {
"max_fine": "20 Mio. EUR oder 4% Jahresumsatz"
},
"evidence": [
{
"name": "Videoueberwachungskonzept",
"required": true
},
{
"name": "Hinweisbeschilderung",
"required": true
}
],
"priority": "hoch",
"tom_control_ids": [
"TOM.AC.01",
"TOM.LOG.01",
"TOM.DATA.02"
],
"breakpilot_feature": null,
"valid_from": "2018-05-25",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "DSGVO-CTRL-001",
"name": "Consent-Management-System",
"description": "Implementierung eines Systems zur Verwaltung von Einwilligungen",
"category": "Technisch",
"what_to_do": "Implementierung einer CMP mit Protokollierung, Widerrufsmoeglichkeit und Nachweis",
"priority": "hoch"
},
{
"id": "DSGVO-CTRL-002",
"name": "Verschluesselung personenbezogener Daten",
"description": "Verschluesselung ruhender und uebertragener Daten",
"category": "Technisch",
"what_to_do": "TLS 1.3 fuer Uebertragung, AES-256 fuer Speicherung, Key-Management",
"priority": "hoch"
},
{
"id": "DSGVO-CTRL-003",
"name": "Zugriffskontrolle",
"description": "Need-to-know-Prinzip fuer Zugriff auf personenbezogene Daten",
"category": "Organisatorisch",
"what_to_do": "RBAC, regelmaessige Berechtigungspruefung, Zugriffsprotokollierung",
"priority": "hoch"
},
{
"id": "DSGVO-CTRL-004",
"name": "Pseudonymisierung/Anonymisierung",
"description": "Pseudonymisierung wo moeglich, Anonymisierung fuer Analysen",
"category": "Technisch",
"what_to_do": "Pseudonymisierungsverfahren, getrennte Zuordnungstabellen",
"priority": "mittel"
},
{
"id": "DSGVO-CTRL-005",
"name": "Datenschutz-Schulungen",
"description": "Regelmaessige Schulung aller Mitarbeiter",
"category": "Organisatorisch",
"what_to_do": "Jaehrliche Pflichtschulungen, Awareness, dokumentierte Nachweise",
"priority": "mittel"
},
{
"id": "DSGVO-CTRL-006",
"name": "Loeschkonzept",
"description": "Automatisierte Loeschroutinen mit definierten Fristen",
"category": "Technisch",
"what_to_do": "Loeschfristen pro Datenkategorie, automatisierte Umsetzung, Protokollierung",
"priority": "hoch"
},
{
"id": "DSGVO-CTRL-007",
"name": "Datenschutz-Folgenabschaetzung Prozess",
"description": "Standardisierter DSFA-Prozess fuer Hochrisiko-Verarbeitungen",
"category": "Governance",
"what_to_do": "DSFA-Template, Risikomatrix, DSB-Stellungnahme, Massnahmenplan",
"priority": "hoch"
}
],
"incident_deadlines": [
{
"phase": "Meldung an Aufsichtsbehoerde",
"deadline": "72 Stunden",
"content": "Meldung bei Verletzung des Schutzes personenbezogener Daten, es sei denn voraussichtlich kein Risiko. Inhalt: Art der Verletzung, Kategorien/Anzahl Betroffener, Kontakt DSB, Folgen, ergriffene Massnahmen.",
"recipient": "Zustaendige Datenschutz-Aufsichtsbehoerde",
"legal_basis": [
{
"norm": "Art. 33 DSGVO"
}
]
},
{
"phase": "Benachrichtigung Betroffener",
"deadline": "unverzueglich",
"content": "Wenn hohes Risiko fuer Rechte und Freiheiten. In klarer und einfacher Sprache: Art der Verletzung, Kontakt DSB, wahrscheinliche Folgen, ergriffene Abhilfemassnahmen.",
"recipient": "Betroffene Personen",
"legal_basis": [
{
"norm": "Art. 34 DSGVO"
}
]
}
]
}
Reference in New Issue View Git Blame Copy Permalink