breakpilot-compliance/backend-compliance/migrations/093_privacy_policy_v2.sql

-- Migration 093: Datenschutzinformation (DSI) v2
-- Ueberarbeitet basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Neue Pflichtabschnitte: Datenkategorien-Tabelle, Bereitstellungspflicht (Art. 13 Abs. 2 lit. e),
--   Speicherdauer-Tabelle, Empfaenger (AV + Verantwortliche), Widerspruchsrecht hervorgehoben

UPDATE compliance_legal_templates
SET
    content = $template$# {{DSI_TITLE}}

**Stand:** {{VERSION_DATE}}
**Gueltig fuer:** {{SERVICE_SCOPE_DESCRIPTION}}

---

## 1. Verantwortlicher

Verantwortlich fuer die in dieser {{DSI_TITLE}} beschriebene Verarbeitung personenbezogener Daten:

**{{COMPANY_LEGAL_NAME}} {{COMPANY_LEGAL_FORM}}**
{{COMPANY_ADDRESS_LINE}}
{{COMPANY_POSTAL_CODE}} {{COMPANY_CITY}}, {{COMPANY_COUNTRY}}
{{#IF REPRESENTED_BY_NAME}}Gesetzlich vertreten durch: {{REPRESENTED_BY_NAME}}{{/IF}}

E-Mail: {{CONTACT_EMAIL}}
{{#IF CONTACT_PHONE}}Telefon: {{CONTACT_PHONE}}{{/IF}}

---

## 2. Datenschutzbeauftragter

{{#IF HAS_DPO}}
{{#IF DPO_NAME}}Unser Datenschutzbeauftragter: **{{DPO_NAME}}**{{/IF}}
E-Mail: {{DPO_EMAIL}}
{{/IF}}
{{#IF_NOT HAS_DPO}}
Fragen zum Datenschutz richten Sie bitte an: {{CONTACT_EMAIL}}
{{/IF_NOT}}

---

## 3. Grundsaetze der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschliesslich im Einklang mit der DSGVO. Wir beachten Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integritaet/Vertraulichkeit und Transparenz.

---

## 4. Welche Daten verarbeiten wir?

Die folgende Uebersicht zeigt die Kategorien personenbezogener Daten, die wir im Zusammenhang mit {{SERVICE_SCOPE_DESCRIPTION}} verarbeiten:

| Kategorie | Beispiele | Details |
|-----------|----------|---------|
| Protokolldaten | IP-Adresse, Geraetetyp, Betriebssystem, Zeitstempel | § 5 |
| Accountdaten | E-Mail, Nutzername, Passwort (gehasht), Profilbild | § 5 |
| Identifikatoren | Nutzer-ID, Geraete-ID, Session-ID | § 5 |
{{#IF HAS_UGC}} | Inhaltsdaten | Veroeffentlichte Texte, Bilder, Videos, Kommentare, Likes | § 5 | {{/IF}}
{{#IF HAS_MESSAGING}} | Kommunikationsdaten | Nachrichten zwischen Nutzern {{#IF HAS_E2E_ENCRYPTION}}(Ende-zu-Ende-verschluesselt — Anbieter kann Inhalt nicht einsehen){{/IF}} | § 5 | {{/IF}}
{{#IF HAS_LOCATION}} | Standortdaten | Geographischer Standort bei Nutzung, Aufnahmeort von Inhalten | § 5 | {{/IF}}
| Nutzungsdaten | Funktionsnutzung, Verweildauer, Abrufe, Absturzberichte | § 5 |
{{#IF HAS_PAYMENTS}} | Zahlungs-/Stammdaten | Name, Anschrift, Zahlungsmethode | § 5 | {{/IF}}
{{#IF HAS_CRYPTO_PAYMENTS}} | Transaktionsdaten | Wallet-Adresse, Guthaben, Transaktionshistorie | § 5 | {{/IF}}
{{#IF HAS_IDENTITY_VERIFICATION}} | Identifizierungsdaten | Name, Geburtsdatum, Ausweisdokument, Gesichtsbild | § 5 | {{/IF}}
| Moderationsdaten | Beschwerden, Verstoesse, Sperrinformationen | § 5 |
| Korrespondenzdaten | Inhalt der Kommunikation mit dem Anbieter | § 5 |

---

## 5. Zwecke und Rechtsgrundlagen der Verarbeitung

### 5.1 Bereitstellung der Plattform und Kernfunktionen

Fuer die Bereitstellung von {{PLATFORM_NAME}} und der angebotenen Funktionen verarbeiten wir Protokolldaten, Accountdaten, Identifikatoren und Einstellungsdaten.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung).

### 5.2 Hosting und Infrastruktur

{{PLATFORM_NAME}} wird gehostet bei: **{{HOSTING_PROVIDER_NAME}}**, {{HOSTING_PROVIDER_COUNTRY}}. Mit dem Hosting-Provider besteht ein Vertrag zur Auftragsverarbeitung ({{HOSTING_PROVIDER_CONTRACT_TYPE}}).

{{#IF HAS_UGC}}
### 5.3 Veroeffentlichung und Moderation von Nutzer-Inhalten

Fuer die Bereitstellung der Inhaltsfunktionen und die Moderation verarbeiten wir Inhaltsdaten, Moderationsdaten und ggf. Standortdaten.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung) fuer die Bereitstellung; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer die Moderation und Vermeidung rechtswidriger Nutzung.
{{/IF}}

### 5.4 IT-Sicherheit und Missbrauchserkennung

Fuer die Gewaehrleistung der IT-Sicherheit verarbeiten wir Protokolldaten, Accountdaten und Identifikatoren.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der IT-Infrastruktur).

{{#IF HAS_ANALYTICS}}
### 5.5 Nutzungsanalyse und Verbesserung

Fuer die Verbesserung von {{PLATFORM_NAME}} verarbeiten wir — sofern Sie einwilligen — Nutzungsdaten und Identifikatoren.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
**Details:** {{ANALYTICS_TOOLS_DETAIL}}
{{/IF}}

{{#IF HAS_PAYMENTS}}
### 5.6 Zahlungsabwicklung

Fuer kostenpflichtige Leistungen verarbeiten wir Stamm- und Transaktionsdaten.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer steuer- und handelsrechtliche Aufbewahrung.

**Hinweis:** Zahlungsdienstleister (z.B. Stripe, PayPal) verarbeiten Ihre Zahlungsdaten als eigenstaendige Verantwortliche — nicht als unsere Auftragsverarbeiter. Deren Datenschutzinformationen finden Sie in der Empfaenger-Uebersicht (§ 7).
{{PAYMENT_PROVIDER_DETAIL}}
{{/IF}}

{{#IF HAS_ONLINE_SHOP}}
### 5.7 Bestell- und Lieferfunktionen

Fuer die Bearbeitung von Bestellungen, die Berechnung von Versandkosten und Lieferzeiten sowie die Lieferung verarbeiten wir Stamm- und Protokolldaten.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer steuer- und handelsrechtliche Anforderungen.
{{/IF}}

{{#IF HAS_SUBSCRIPTION}}
### 5.8 Abo-Verwaltung und Kuendigung

Fuer die Verwaltung und Kuendigung von Abonnements verarbeiten wir Protokoll- und Stammdaten.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht, insb. § 312k BGB).
{{/IF}}

{{#IF HAS_IDENTITY_VERIFICATION}}
### 5.9 Identitaetspruefung

Fuer die Verifizierung Ihrer Identitaet verarbeiten wir — sofern Sie einwilligen — Identifizierungsdaten.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
{{/IF}}

### 5.8 Kontaktanfragen und Support

Bei Kontaktaufnahme verarbeiten wir Ihre Korrespondenzdaten.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b oder f DSGVO.

### 5.9 Gesetzliche Aufbewahrungspflichten und Rechtsverteidigung

Fuer die Erfuellung gesetzlicher Aufbewahrungspflichten und zur Geltendmachung, Ausuebung oder Verteidigung von Rechtsanspruechen verarbeiten wir die jeweils erforderlichen Datenkategorien.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) fuer EU-/EWR-Recht; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) fuer die Erfuellung rechtlicher Pflichten in Drittstaaten sowie fuer die Rechtsverteidigung.

### 5.10 Kooperation mit Behoerden

Soweit wir gesetzlich zur Herausgabe von Daten an Behoerden oder Gerichte verpflichtet sind, verarbeiten wir die jeweils erforderlichen Datenkategorien.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht).

{{#IF HAS_NEWSLETTER}}
### 5.11 Newsletter

Fuer den Newsletter-Versand verarbeiten wir Ihre E-Mail-Adresse (Double-Opt-In).

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf: Abmeldelink oder {{CONTACT_EMAIL}}.
{{NEWSLETTER_PROVIDER_DETAIL}}
{{/IF}}

{{#IF HAS_MARKETING}}
### 5.12 Marketing und Tracking

Wir setzen — sofern Sie einwilligen — Marketing-Tools ein.

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
{{MARKETING_TOOLS_DETAIL}}
{{/IF}}

---

## 6. Sind Sie zur Bereitstellung von Daten verpflichtet?

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Bestimmte Daten sind jedoch fuer die Nutzung von {{PLATFORM_NAME}} technisch erforderlich:

| Daten | Erforderlichkeit | Folge bei Nichtbereitstellung |
|-------|:---:|---|
| Protokolldaten, Accountdaten, Identifikatoren | Fuer Grundnutzung erforderlich | Nutzung nicht moeglich |
{{#IF HAS_UGC}} | Inhaltsdaten | Fuer Veroeffentlichung | Inhalte-Funktionen nicht nutzbar | {{/IF}}
{{#IF HAS_LOCATION}} | Standortdaten | Fuer standortbezogene Funktionen | Eingeschraenkte Funktionalitaet | {{/IF}}
{{#IF HAS_PAYMENTS}} | Zahlungs-/Transaktionsdaten | Fuer Zahlungsfunktionen | Zahlungsfunktionen nicht nutzbar | {{/IF}}
{{#IF HAS_IDENTITY_VERIFICATION}} | Identifizierungsdaten | Fuer verifizierte Funktionen | Verifizierte Funktionen nicht nutzbar | {{/IF}}
| Nutzungsdaten, Korrespondenzdaten | Optional | Keine Einschraenkung |

---

## 7. Empfaenger personenbezogener Daten

### 7.1 Auftragsverarbeiter

Wir setzen Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten. Mit allen Auftragsverarbeitern bestehen Vertraege gemaess Art. 28 DSGVO.

{{PROCESSOR_LIST}}

{{#IF HAS_PARENT_COMPANY}}
### 7.1a Verbundene Unternehmen (Konzernstruktur)

{{COMPANY_LEGAL_NAME}} uebermittelt personenbezogene Daten an folgende verbundene Unternehmen, die als Auftragsverarbeiter taetig sind:

{{AFFILIATED_COMPANIES_LIST}}

Diese verbundenen Unternehmen uebermitteln im Rahmen ihrer Leistungserbringung ggf. Daten an weitere Auftragsverarbeiter:

{{AFFILIATED_SUB_PROCESSORS_LIST}}
{{/IF}}

### 7.2 Sonstige Empfaenger (eigene Verantwortliche)

In bestimmten Faellen uebermitteln wir personenbezogene Daten an Empfaenger, die diese zu eigenen Zwecken verarbeiten:

{{THIRD_PARTY_RECIPIENTS}}

**Hinweis:** Zahlungsdienstleister, Banken und Identifizierungsdienste verarbeiten Ihre Daten als eigenstaendige Verantwortliche aufgrund eigener gesetzlicher Pflichten (KYC, AML, PSD2). Weitere Informationen entnehmen Sie deren Datenschutzinformationen.

Darueber hinaus uebermitteln wir Daten an Behoerden und Gerichte, soweit wir gesetzlich hierzu verpflichtet sind, sowie an andere Nutzer und Dritte zur Unterstuetzung bei der Geltendmachung ihrer Rechte.

---

## 8. Drittlanduebermittlungen

{{#IF HAS_THIRD_COUNTRY}}
Uebermittlungen ausserhalb der EU/des EWR koennen bei einzelnen Dienstleistern nicht ausgeschlossen werden. Wir stellen ein angemessenes Schutzniveau durch {{TRANSFER_GUARDS}} sicher.
{{/IF}}
{{#IF_NOT HAS_THIRD_COUNTRY}}
Uebermittlungen in Drittlaender ausserhalb der EU/des EWR finden nicht statt.
{{/IF_NOT}}

---

## 9. Speicherdauer

| Datenkategorie | Speicherdauer |
|---------------|--------------|
| Protokolldaten, Session-Identifikatoren | Dauer der Nutzungssession |
| Accountdaten, Einstellungen | Bis 1 Woche nach Accountloeschung |
{{#IF HAS_UGC}} | Inhaltsdaten | Bis zur Entfernung durch Nutzer/Moderation, spaetestens 1 Woche nach Accountloeschung | {{/IF}}
{{#IF HAS_LOCATION}} | Standortdaten (Echtzeit) | Dauer der Nutzungssession | {{/IF}}
| Nutzungsdaten | 4 Wochen nach Session-Ende |
{{#IF HAS_PAYMENTS}} | Stamm-, Transaktions-, Identifizierungsdaten | 6 bzw. 10 Jahre (§ 147 AO, § 257 HGB) | {{/IF}}
| Moderationsdaten | 3 Jahre nach Abschluss des Vorgangs |
| Korrespondenzdaten | 3 Jahre (allgemein), 6 Jahre (Handelsbriefe) |

**Ausnahme:** Bei sicherheits- oder rechtlich relevanten Ereignissen speichern wir die betroffenen Daten bis zur vollstaendigen Aufklaerung. Bei Rechtsstreitigkeiten bis zu deren rechtskraeftiger Beendigung.

---

## 10. Cookies und Einwilligungsmanagement

Details zu Cookies, Speicherdauern und eingesetzten Tools: {{COOKIE_POLICY_URL}}.
Einwilligung verwalten/widerrufen: {{CONSENT_WITHDRAWAL_PATH}}.

---

## 11. Sicherheit

Wir setzen technische und organisatorische Massnahmen zum Schutz Ihrer Daten ein: {{SECURITY_MEASURES_SUMMARY}}.

---

## 12. Ihre Rechte

Sie haben folgende Rechte bezueglich Ihrer personenbezogenen Daten:

{{#IF DETAILED_RIGHTS}}
- **Auskunft (Art. 15 DSGVO):** Sie haben das Recht zu erfahren, welche Daten wir verarbeiten, einschliesslich Zweck, Rechtsgrundlage und Empfaenger. Sie koennen eine Kopie Ihrer Daten anfordern.
- **Berichtigung (Art. 16 DSGVO):** Sie koennen die Berichtigung unrichtiger oder die Vervollstaendigung unvollstaendiger Daten verlangen.
- **Loeschung (Art. 17 DSGVO):** Sie koennen die Loeschung Ihrer Daten verlangen, wenn diese nicht mehr erforderlich sind oder unrechtmaessig verarbeitet werden.
- **Einschraenkung (Art. 18 DSGVO):** Sie koennen die Einschraenkung der Verarbeitung verlangen, z.B. wenn Sie die Richtigkeit bestreiten.
- **Datenuebertragbarkeit (Art. 20 DSGVO):** Sie haben das Recht, Ihre Daten in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten.
{{/IF}}
{{#IF_NOT DETAILED_RIGHTS}}
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Loeschung (Art. 17 DSGVO)
- Einschraenkung der Verarbeitung (Art. 18 DSGVO)
- Datenuebertragbarkeit (Art. 20 DSGVO)
{{/IF_NOT}}

Zur Ausuebung Ihrer Rechte: {{DATA_SUBJECT_REQUEST_CHANNEL}}

### Widerrufsrecht

Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO). Die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberuehrt.

### Widerspruchsrecht

**Sie haben das Recht, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwuerdige Gruende vor.**

{{#IF HAS_MARKETING}}
**Gegen die Verarbeitung Ihrer Daten fuer Zwecke der Direktwerbung koennen Sie jederzeit ohne Angabe von Gruenden Widerspruch einlegen.**
{{/IF}}

---

## 13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehoerde zu beschweren (Art. 77 DSGVO):

**{{SUPERVISORY_AUTHORITY_NAME}}**
{{SUPERVISORY_AUTHORITY_ADDRESS}}

---

## 14. Aenderungen

Wir koennen diese {{DSI_TITLE}} anpassen. Die aktuelle Version finden Sie unter {{WEBSITE_URL}}.

---

*Erstellt mit BreakPilot Compliance — {{COMPANY_LEGAL_NAME}} | Stand: {{VERSION_DATE}}*
$template$,
    title = 'Datenschutzinformation / Datenschutzerklaerung (DSGVO, modular)',
    description = 'Vollstaendige Datenschutzinformation nach DSGVO Art. 13/14 mit modularen Abschnitten. Inkl. Datenkategorien-Tabelle, Zweck-Rechtsgrundlage-Zuordnung, Bereitstellungspflicht (Art. 13 Abs. 2 lit. e), Speicherdauer-Tabelle, Empfaenger (AV + Verantwortliche mit Stripe-Hinweis), hervorgehobenes Widerspruchsrecht (Art. 21 Abs. 4). DSI/DSE Titel waehlbar.',
    version = '2.0.0',
    updated_at = NOW()
WHERE document_type = 'privacy_policy'
  AND language = 'de'
  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';