Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f738ca8c525f965d4e8e48a35c20d4f5ced01c00
breakpilot-compliance/ai-compliance-sdk/policies/obligations/v2/ttdsg_v2.json
Benjamin Admin 38e278ee3c
All checks were successful
CI / go-lint (push) Has been skipped
Details
CI / python-lint (push) Has been skipped
Details
CI / nodejs-lint (push) Has been skipped
Details
CI / test-go-ai-compliance (push) Successful in 32s
Details
CI / test-python-backend-compliance (push) Successful in 29s
Details
CI / test-python-document-crawler (push) Successful in 20s
Details
CI / test-python-dsms-gateway (push) Successful in 18s
Details
feat(ucca): Pflichtendatenbank v2 (325 Obligations), Trigger-Engine, TOM-Control-Mapping 
- 9 Regulation-JSON-Dateien (DSGVO 80, AI Act 60, NIS2 40, BDSG 30, TTDSG 20, DSA 35, Data Act 25, EU-Maschinen 15, DORA 20)
- Condition-Tree-Engine fuer automatische Pflichtenselektion (all_of/any_of, 80+ Field-Paths)
- Generischer JSONRegulationModule-Loader mit YAML-Fallback
- Bidirektionales TOM-Control-Mapping (291 Obligation→Control, 92 Control→Obligation)
- Gap-Analyse-Engine (Compliance-%, Priority Actions, Domain Breakdown)
- ScopeDecision→UnifiedFacts Bridge fuer Auto-Profiling
- 4 neue API-Endpoints (assess-from-scope, tom-controls, gap-analysis, reverse-lookup)
- Frontend: Auto-Profiling Button, Regulation-Filter Chips, TOM-Panel, Gap-Analyse-View
- 18 Unit Tests (Condition Engine, v2 Loader, TOM Mapper)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-05 14:51:44 +01:00

459 lines
26 KiB
JSON
Raw Blame History

{
"regulation": "ttdsg",
"regulation_full_name": "Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)",
"version": "1.0",
"obligations": [
{
"id": "TTDSG-OBL-001",
"title": "Wahrung des Fernmeldegeheimnisses",
"description": "Der Inhalt der Telekommunikation und ihre naeheren Umstaende unterliegen dem Fernmeldegeheimnis. Diensteanbieter sind zur Wahrung verpflichtet.",
"applies_when": "organization provides telecommunication services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 3", "title": "Vertraulichkeit der Kommunikation" }],
"sources": [{ "type": "national_law", "ref": "§ 3 TTDSG" }],
"category": "Governance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR", "criminal_liability": true },
"evidence": [{ "name": "Fernmeldegeheimnis-Richtlinie", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.CRY.01", "TOM.AC.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-002",
"title": "Technische Schutzmassnahmen Fernmeldegeheimnis",
"description": "Diensteanbieter muessen technische Vorkehrungen zum Schutz des Fernmeldegeheimnisses treffen, insbesondere gegen unbefugtes Abhoeren und Mitlesen.",
"applies_when": "organization provides telecommunication services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 4", "title": "Durchsetzung des Fernmeldegeheimnisses" }],
"sources": [{ "type": "national_law", "ref": "§ 4 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Sicherheitsbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Verschluesselungskonzept TK", "required": true }, "Penetrationstest-Bericht"],
"priority": "kritisch",
"tom_control_ids": ["TOM.CRY.01", "TOM.NET.01"],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-003",
"title": "Bestandsdatenauskunft TK-Dienste",
"description": "Bestandsdaten der Teilnehmer duerfen nur erhoben und verwendet werden, soweit dies zur Begruendung, Ausgestaltung oder Aenderung eines Vertragsverhaeltnisses erforderlich ist.",
"applies_when": "organization provides telecommunication services with subscriber data",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 7", "title": "Bestandsdaten TK-Anbieter" }],
"sources": [{ "type": "national_law", "ref": "§ 7 TTDSG" }],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Bestandsdaten-Verarbeitungskonzept", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.AC.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-004",
"title": "Bestandsdatenauskunft an Behoerden",
"description": "Die Erteilung von Auskuenften ueber Bestandsdaten an Sicherheitsbehoerden ist nur unter den Voraussetzungen des § 8 TTDSG zulaessig.",
"applies_when": "organization provides telecom and receives authority requests",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 8", "title": "Bestandsdatenauskunft Behoerden" }],
"sources": [{ "type": "national_law", "ref": "§ 8 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Bei Behoerdenanfrage" },
"sanctions": { "max_fine": "300.000 EUR", "personal_liability": true },
"evidence": [{ "name": "Auskunftserteilungs-Protokoll", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.02", "TOM.LOG.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-005",
"title": "Verkehrsdaten — Zweckbindung und Loeschung",
"description": "Verkehrsdaten duerfen nur fuer Abrechnungszwecke, Stoerungsbeseitigung und Missbrauchsbekaempfung gespeichert werden und sind nach Zweckerfuellung unverzueglich zu loeschen.",
"applies_when": "organization collects traffic data from telecom services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }, { "field": "data_protection.collects_traffic_data", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 9", "title": "Verkehrsdaten" }],
"sources": [{ "type": "national_law", "ref": "§ 9 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": { "type": "on_event", "event": "Nach Rechnungsstellung/Zweckerfuellung" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Loeschkonzept Verkehrsdaten", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.DEL.01", "TOM.GOV.01"],
"breakpilot_feature": "/sdk/loeschfristen",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-006",
"title": "Standortdaten — Einwilligung erforderlich",
"description": "Standortdaten duerfen nur mit ausdruecklicher Einwilligung des Nutzers verarbeitet werden. Die Einwilligung muss jederzeit widerrufbar sein.",
"applies_when": "organization processes location data",
"applies_when_condition": { "all_of": [{ "field": "data_protection.processes_location_data", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 10", "title": "Standortdaten" }],
"sources": [{ "type": "national_law", "ref": "§ 10 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor Verarbeitung von Standortdaten" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Einwilligungsnachweis Standortdaten", "required": true }, "Widerrufsmechanismus"],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": "/sdk/consent",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-007",
"title": "Anonymisierung von Standortdaten",
"description": "Wenn Standortdaten fuer Mehrwertdienste verwendet werden, muessen sie anonymisiert oder pseudonymisiert werden, sofern der Zweck dies erlaubt.",
"applies_when": "organization uses location data for value-added services",
"applies_when_condition": { "all_of": [{ "field": "data_protection.processes_location_data", "operator": "EQUALS", "value": true }, { "field": "organization.offers_value_added_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 10 Abs. 2", "title": "Standortdaten Mehrwertdienste" }],
"sources": [{ "type": "national_law", "ref": "§ 10 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Sicherheitsbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Anonymisierungskonzept Standortdaten", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.CRY.02"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-008",
"title": "Bestandsdaten Telemedien — Erhebung und Verwendung",
"description": "Anbieter von Telemedien duerfen Bestandsdaten nur erheben und verwenden, soweit sie fuer die Begruendung, Ausgestaltung oder Aenderung eines Vertragsverhaeltnisses erforderlich sind.",
"applies_when": "organization provides telemedia services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telemedia_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 13", "title": "Bestandsdaten Telemedien" }],
"sources": [{ "type": "national_law", "ref": "§ 13 TTDSG" }],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Datenschutzerklaerung Telemedien", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-009",
"title": "Nutzungsdaten Telemedien — Zweckbindung",
"description": "Nutzungsdaten duerfen nur erhoben werden, soweit dies zur Ermogeglichung der Inanspruchnahme von Telemedien erforderlich ist. Profilerstellung bedarf der Einwilligung.",
"applies_when": "organization collects telemedia usage data",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telemedia_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 15", "title": "Nutzungsdaten Telemedien" }],
"sources": [{ "type": "national_law", "ref": "§ 15 TTDSG" }],
"category": "Governance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Nutzungsdaten-Konzept", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01", "TOM.DEL.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-010",
"title": "Vertraulichkeit Nachrichteninhalte",
"description": "Anbieter von interpersonellen TK-Diensten muessen die Vertraulichkeit der uebermittelten Nachrichteninhalte gewaehrleisten (§ 19 TTDSG).",
"applies_when": "organization provides messaging or communication services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_messaging_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 19", "title": "Nachrichteninhalte" }],
"sources": [{ "type": "national_law", "ref": "§ 19 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Sicherheitsbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR", "criminal_liability": true },
"evidence": [{ "name": "Ende-zu-Ende-Verschluesselungsnachweis", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.CRY.01", "TOM.NET.01"],
"breakpilot_feature": "/sdk/tom",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-011",
"title": "Schutz vor Spam und unerwuenschten Nachrichten",
"description": "Anbieter nummernunabhaengiger interpersoneller TK-Dienste muessen Massnahmen gegen unerwuenschte Nachrichten (Spam) ergreifen.",
"applies_when": "organization provides interpersonal communication services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_messaging_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 19 Abs. 2", "title": "Spam-Schutz" }],
"sources": [{ "type": "national_law", "ref": "§ 19 TTDSG" }],
"category": "Technisch",
"responsible": "IT-Leitung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Anti-Spam-Massnahmen Dokumentation", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.NET.01"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-012",
"title": "Einwilligung fuer Cookies und Tracking",
"description": "Die Speicherung von Informationen in der Endeinrichtung des Nutzers oder der Zugriff auf dort gespeicherte Informationen ist nur mit Einwilligung des Nutzers zulaessig (§ 25 Abs. 1 TTDSG).",
"applies_when": "organization uses cookies or similar tracking technologies",
"applies_when_condition": { "any_of": [{ "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true }, { "field": "data_protection.uses_tracking", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 25 Abs. 1", "title": "Schutz der Privatsphaere bei Endeinrichtungen" }],
"sources": [{ "type": "national_law", "ref": "§ 25 TTDSG" }, { "type": "eu_guidance", "ref": "ePrivacy-Richtlinie Art. 5 Abs. 3" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor Setzen von Cookies/Trackern" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Cookie-Consent-Banner", "required": true }, { "name": "Consent-Management-Platform Nachweis", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.GOV.02", "TOM.WEB.01"],
"breakpilot_feature": "/sdk/cookie-banner",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-013",
"title": "Ausnahmen von der Cookie-Einwilligung",
"description": "Keine Einwilligung ist erforderlich, wenn die Speicherung/der Zugriff technisch erforderlich ist, um den vom Nutzer ausdruecklich gewuenschten Dienst bereitzustellen (§ 25 Abs. 2 TTDSG).",
"applies_when": "organization uses technically necessary cookies",
"applies_when_condition": { "all_of": [{ "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 25 Abs. 2", "title": "Ausnahme technisch notwendige Cookies" }],
"sources": [{ "type": "national_law", "ref": "§ 25 Abs. 2 TTDSG" }, { "type": "dsk_kurzpapier", "ref": "DSK Orientierungshilfe Telemedien 2021" }],
"category": "Dokumentation",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "jaehrlich" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Cookie-Klassifizierung (notwendig vs. optional)", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.WEB.01"],
"breakpilot_feature": "/sdk/cookie-banner",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-014",
"title": "Cookie-Consent Anforderungen — Informiertheit",
"description": "Die Einwilligung nach § 25 Abs. 1 TTDSG muss informiert erfolgen. Der Nutzer muss klar und umfassend ueber Zweck, Dauer und Empfaenger informiert werden.",
"applies_when": "organization collects cookie consent",
"applies_when_condition": { "all_of": [{ "field": "data_protection.uses_cookies", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 25 Abs. 1", "title": "Informierte Einwilligung" }, { "norm": "DSGVO", "article": "Art. 7", "title": "Bedingungen fuer die Einwilligung" }],
"sources": [{ "type": "national_law", "ref": "§ 25 TTDSG" }, { "type": "case_law", "ref": "BGH I ZR 7/16 — Planet49" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Cookie-Banner mit vollstaendiger Information", "required": true }, "Dokumentation Consent-Flow"],
"priority": "kritisch",
"tom_control_ids": ["TOM.WEB.01", "TOM.GOV.02"],
"breakpilot_feature": "/sdk/cookie-banner",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-015",
"title": "Anerkannte Dienste zur Einwilligungsverwaltung",
"description": "Die Bundesregierung kann durch Rechtsverordnung Anforderungen an anerkannte Dienste zur Einwilligungsverwaltung (PIMS) festlegen (§ 26 TTDSG).",
"applies_when": "organization provides or uses a Personal Information Management Service",
"applies_when_condition": { "all_of": [{ "field": "organization.uses_pims", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 26", "title": "Anerkannte Dienste zur Einwilligungsverwaltung" }],
"sources": [{ "type": "national_law", "ref": "§ 26 TTDSG" }],
"category": "Compliance",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "recurring", "interval": "jaehrlich" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "PIMS-Zertifizierung/Anerkennung", "required": false }],
"priority": "niedrig",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": "/sdk/consent",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-016",
"title": "Endnutzerinformation bei Rufnummernanzeige",
"description": "Bei der Anzeige von Rufnummern muessen Diensteanbieter den Endnutzer ueber die Moeglichkeit der Unterdrueckung informieren (§ 11 TTDSG).",
"applies_when": "organization provides telephony services with caller ID",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 11", "title": "Rufnummernanzeige" }],
"sources": [{ "type": "national_law", "ref": "§ 11 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Produktmanagement",
"deadline": { "type": "on_event", "event": "Bei Vertragsschluss" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Kundeninformation Rufnummernanzeige", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-017",
"title": "Automatische Anrufweiterleitung — Einwilligung",
"description": "Automatische Anrufweiterleitungen duerfen nur mit Einwilligung des Anschlussinhabers eingerichtet werden (§ 12 TTDSG).",
"applies_when": "organization provides call forwarding services",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 12", "title": "Anrufweiterschaltung" }],
"sources": [{ "type": "national_law", "ref": "§ 12 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Produktmanagement",
"deadline": { "type": "on_event", "event": "Vor Einrichtung der Weiterleitung" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Einwilligungsnachweis Anrufweiterleitung", "required": true }],
"priority": "niedrig",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": null,
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-018",
"title": "Bussgeldvorschriften TTDSG",
"description": "Verstoesse gegen die Vorschriften des TTDSG koennen als Ordnungswidrigkeiten mit Bussgeldern bis zu 300.000 EUR geahndet werden (§ 28 TTDSG).",
"applies_when": "always for organizations under TTDSG scope",
"applies_when_condition": { "any_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }, { "field": "organization.provides_telemedia_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 28", "title": "Bussgeldvorschriften" }],
"sources": [{ "type": "national_law", "ref": "§ 28 TTDSG" }],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "300.000 EUR", "personal_liability": true },
"evidence": [{ "name": "TTDSG-Compliance-Pruefbericht", "required": true }],
"priority": "hoch",
"tom_control_ids": ["TOM.GOV.01"],
"breakpilot_feature": "/sdk/risk-assessment",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-019",
"title": "Strafvorschriften — Verstoesse Fernmeldegeheimnis",
"description": "Wer unbefugt einer anderen Person Kenntnis vom Inhalt oder den naeheren Umstaenden der Telekommunikation verschafft, wird strafrechtlich verfolgt (§ 27 TTDSG).",
"applies_when": "organization handles telecommunication data",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 27", "title": "Strafvorschriften" }],
"sources": [{ "type": "national_law", "ref": "§ 27 TTDSG" }],
"category": "Compliance",
"responsible": "Geschaeftsfuehrung",
"deadline": { "type": "recurring", "interval": "laufend" },
"sanctions": { "max_fine": "Freiheitsstrafe bis 2 Jahre oder Geldstrafe", "personal_liability": true, "criminal_liability": true },
"evidence": [{ "name": "Schulungsnachweis Fernmeldegeheimnis", "required": true }],
"priority": "kritisch",
"tom_control_ids": ["TOM.HR.02", "TOM.AC.01"],
"breakpilot_feature": "/sdk/training",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
},
{
"id": "TTDSG-OBL-020",
"title": "Teilnehmerverzeichnisse — Einwilligung",
"description": "Die Aufnahme in oeffentliche Teilnehmerverzeichnisse und die Bereitstellung von Auskunftsdiensten bedarf der vorherigen Einwilligung des Teilnehmers (§ 17 TTDSG).",
"applies_when": "organization maintains subscriber directories",
"applies_when_condition": { "all_of": [{ "field": "organization.provides_telecom_services", "operator": "EQUALS", "value": true }, { "field": "organization.maintains_directories", "operator": "EQUALS", "value": true }] },
"legal_basis": [{ "norm": "TTDSG", "article": "§ 17", "title": "Teilnehmerverzeichnisse" }],
"sources": [{ "type": "national_law", "ref": "§ 17 TTDSG" }],
"category": "Organisatorisch",
"responsible": "Datenschutzbeauftragter",
"deadline": { "type": "on_event", "event": "Vor Aufnahme in Verzeichnis" },
"sanctions": { "max_fine": "300.000 EUR" },
"evidence": [{ "name": "Einwilligungsnachweis Verzeichniseintrag", "required": true }],
"priority": "mittel",
"tom_control_ids": ["TOM.GOV.02"],
"breakpilot_feature": "/sdk/consent",
"valid_from": "2021-12-01",
"valid_until": null,
"version": "1.0"
}
],
"controls": [
{
"id": "TTDSG-CTRL-001",
"name": "Cookie-Consent-Management",
"description": "Kontrolle zur Sicherstellung der gesetzeskonformen Einholung und Verwaltung von Cookie-Einwilligungen nach § 25 TTDSG.",
"category": "Organisatorisch",
"what_to_do": "Cookie-Banner implementieren, Cookie-Klassifizierung durchfuehren, Consent-Log fuehren, regelmaessige Audits der Cookie-Nutzung.",
"iso27001_mapping": ["A.5.34"],
"priority": "kritisch"
},
{
"id": "TTDSG-CTRL-002",
"name": "Fernmeldegeheimnis-Schutz",
"description": "Kontrolle zur Gewaehrleistung des Fernmeldegeheimnisses durch technische und organisatorische Massnahmen.",
"category": "Technisch",
"what_to_do": "Verschluesselung implementieren, Zugriffskontrolle auf TK-Daten, Mitarbeiterschulung zum Fernmeldegeheimnis, Protokollierung.",
"iso27001_mapping": ["A.8.24", "A.5.14"],
"priority": "kritisch"
},
{
"id": "TTDSG-CTRL-003",
"name": "Verkehrs- und Standortdaten-Governance",
"description": "Kontrolle zur Einhaltung der Zweckbindung und Loeschpflichten fuer Verkehrs- und Standortdaten.",
"category": "Governance",
"what_to_do": "Datenklassifizierung erstellen, automatische Loeschmechanismen implementieren, Einwilligungsprozesse fuer Standortdaten pruefen.",
"iso27001_mapping": ["A.5.33", "A.8.10"],
"priority": "hoch"
}
],
"incident_deadlines": [
{
"phase": "Meldung TK-Sicherheitsvorfall an BNetzA",
"deadline": "Unverzueglich (i.d.R. 24 Stunden)",
"content": "Art und Umfang des Vorfalls, betroffene Dienste, ergriffene Massnahmen",
"recipient": "Bundesnetzagentur (BNetzA)",
"legal_basis": [{ "norm": "TKG", "article": "§ 168" }]
},
{
"phase": "Benachrichtigung betroffener Teilnehmer",
"deadline": "Unverzueglich bei Risiko fuer persoenliche Daten",
"content": "Art des Vorfalls, Kontaktdaten, empfohlene Schutzmassnahmen",
"recipient": "Betroffene Teilnehmer",
"legal_basis": [{ "norm": "DSGVO", "article": "Art. 34" }]
},
{
"phase": "Meldung an BSI bei erheblichen Stoerungen",
"deadline": "Unverzueglich",
"content": "Technische Rahmenbedingungen, vermutete Ursache, Auswirkungen",
"recipient": "Bundesamt fuer Sicherheit in der Informationstechnik (BSI)",
"legal_basis": [{ "norm": "TKG", "article": "§ 169" }]
}
]
}
Reference in New Issue View Git Blame Copy Permalink