Benjamin_Boenisch/breakpilot-core
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat: Document Templates V2 — DSFA, TOM, VVT, AVV, Verpflichtung, Art.13/14

Browse Source 
Erweiterte Compliance-Vorlagen fuer den Document Generator:
- DSFA V2: Schwellwertanalyse (9 WP248-Kriterien), SDM-basierte TOM,
  strukturierte Risikobewertung, KI-Modul (AI Act), Art.36-Pruefung
- TOM V2: 7 SDM-Gewaehrleistungsziele, Sektor-Erweiterungen,
  NIS2/ISO27001/AI Act Varianten
- VVT V2: 6 Branchen-Muster (IT/SaaS, Gesundheit, Handel, Handwerk,
  Bildung, Beratung) + allgemeine Art.30-Vorlage
- AVV V2: Vollstaendiger Art.28-Vertrag mit TOM-Anlage
- Verpflichtungserklaerung: Mitarbeiter-Vertraulichkeit
- Art.13/14 Informationspflichten-Muster

Enthalt SQL-Migrations (compliance_legal_templates), Python-Generatoren
und Qdrant-Cleanup-Skript. Feature-Branch fuer spaetere Integration
in breakpilot-compliance.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-04-10 11:39:39 +02:00
parent 441d5740bd
commit fc71117bf2
10 changed files with 3126 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

405
document-templates/migrations/001_dsfa_template_v2.sql Normal file
View File

@@ -0,0 +1,405 @@
-- Migration 001: DSFA Template V2 — Datenschutz-Folgenabschaetzung
-- Archiviert V1 (aus Migration 025) und fuegt erweiterte V2 ein.
-- Zielrepo: breakpilot-compliance (spaetere Integration)
-- 1. Bestehende V1 archivieren
UPDATE compliance.compliance_legal_templates
SET status = 'archived', updated_at = NOW()
WHERE document_type = 'dsfa'
AND status = 'published';
-- 2. DSFA V2 einfuegen
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'dsfa',
'Datenschutz-Folgenabschaetzung (DSFA) gemaess Art. 35 DSGVO — V2',
'Erweiterte Vorlage fuer eine Datenschutz-Folgenabschaetzung mit Schwellwertanalyse (WP248), SDM-basierter TOM-Struktur, strukturierter Risikobewertung nach ISO 29134 und KI-Modul (EU AI Act). Geeignet fuer alle Verarbeitungen, die einer DSFA beduerfen.',
'de',
'EU/DSGVO',
'2.0',
'published',
'MIT',
'BreakPilot Compliance',
false,
true,
CAST('[
"{{ORGANISATION_NAME}}",
"{{ORGANISATION_ADRESSE}}",
"{{DSB_NAME}}",
"{{DSB_KONTAKT}}",
"{{BUNDESLAND}}",
"{{AUFSICHTSBEHOERDE}}",
"{{ERSTELLT_VON}}",
"{{ERSTELLT_AM}}",
"{{GENEHMIGT_VON}}",
"{{GENEHMIGT_AM}}",
"{{WP248_K1_BEWERTUNG_SCORING}}",
"{{WP248_K2_AUTOMATISIERTE_ENTSCHEIDUNG}}",
"{{WP248_K3_SYSTEMATISCHE_UEBERWACHUNG}}",
"{{WP248_K4_SENSIBLE_DATEN}}",
"{{WP248_K5_GROSSER_UMFANG}}",
"{{WP248_K6_DATENVERKNUEPFUNG}}",
"{{WP248_K7_SCHUTZBEDUERFTIGE_BETROFFENE}}",
"{{WP248_K8_INNOVATIVE_TECHNOLOGIE}}",
"{{WP248_K9_RECHTSAUSUEBUNG_HINDERT}}",
"{{SCHWELLWERT_ERGEBNIS}}",
"{{MUSS_LISTEN_REFERENZ}}",
"{{VERARBEITUNG_TITEL}}",
"{{VERARBEITUNG_BESCHREIBUNG}}",
"{{VERARBEITUNG_UMFANG}}",
"{{VERARBEITUNG_KONTEXT}}",
"{{VERARBEITUNGSMITTEL}}",
"{{ZWECK_VERARBEITUNG}}",
"{{RECHTSGRUNDLAGE}}",
"{{RECHTSGRUNDLAGE_DETAILS}}",
"{{DATENKATEGORIEN}}",
"{{BETROFFENENGRUPPEN}}",
"{{EMPFAENGER}}",
"{{DRITTLANDTRANSFER}}",
"{{SPEICHERDAUER}}",
"{{GEMEINSAME_VERANTWORTUNG_DETAILS}}",
"{{AUFTRAGSVERARBEITER_DETAILS}}",
"{{NOTWENDIGKEIT_BEWERTUNG}}",
"{{VERHAELTNISMAESSIGKEIT_BEWERTUNG}}",
"{{DATENMINIMIERUNG_NACHWEIS}}",
"{{ALTERNATIVEN_GEPRUEFT}}",
"{{SPEICHERBEGRENZUNG_NACHWEIS}}",
"{{RISIKO_METHODIK}}",
"{{RISIKEN_TABELLE}}",
"{{GESAMT_RISIKO_NIVEAU}}",
"{{KONSULTATION_BETROFFENE}}",
"{{KONSULTATION_BETRIEBSRAT}}",
"{{TOM_VERFUEGBARKEIT}}",
"{{TOM_INTEGRITAET}}",
"{{TOM_VERTRAULICHKEIT}}",
"{{TOM_NICHTVERKETTUNG}}",
"{{TOM_TRANSPARENZ}}",
"{{TOM_INTERVENIERBARKEIT}}",
"{{TOM_DATENMINIMIERUNG}}",
"{{DSB_STELLUNGNAHME}}",
"{{DSB_DATUM}}",
"{{ART36_BEGRUENDUNG}}",
"{{DSFA_ERGEBNIS}}",
"{{RESTRISIKO_BEWERTUNG}}",
"{{UEBERPRUFUNGSINTERVALL}}",
"{{NAECHSTE_UEBERPRUFUNG}}",
"{{AENDERUNGSTRIGGER}}",
"{{KI_SYSTEME_DETAILS}}",
"{{KI_GRUNDRECHTSPRUEFUNG}}"
]' AS jsonb),
$template$# Datenschutz-Folgenabschaetzung (DSFA)
**gemaess Art. 35 DS-GVO**
---
## 0. Schwellwertanalyse
Vor Durchfuehrung einer vollstaendigen DSFA ist zu pruefen, ob die geplante Verarbeitung eine solche erfordert. Die Pruefung erfolgt anhand der neun Kriterien der WP29/EDPB-Leitlinien (WP 248 rev.01) sowie der Muss-Liste der zustaendigen Aufsichtsbehoerde.
### 0.1 WP248-Kriterien (Art. 29-Datenschutzgruppe)
Sobald mindestens **zwei** der folgenden Kriterien zutreffen, ist eine DSFA in der Regel erforderlich.
| Nr. | Kriterium | Zutreffend? | Begruendung |
|-----|-----------|-------------|-------------|
| K1 | Bewertung oder Scoring (einschl. Profiling und Prognose) | {{WP248_K1_BEWERTUNG_SCORING}} | |
| K2 | Automatisierte Entscheidungsfindung mit Rechtswirkung oder aehnlich erheblicher Wirkung | {{WP248_K2_AUTOMATISIERTE_ENTSCHEIDUNG}} | |
| K3 | Systematische Ueberwachung von Personen | {{WP248_K3_SYSTEMATISCHE_UEBERWACHUNG}} | |
| K4 | Verarbeitung sensibler Daten oder hoechst persoenlicher Daten (Art. 9, 10 DS-GVO) | {{WP248_K4_SENSIBLE_DATEN}} | |
| K5 | Datenverarbeitung in grossem Umfang | {{WP248_K5_GROSSER_UMFANG}} | |
| K6 | Verknuepfung oder Zusammenfuehrung von Datenbestaenden | {{WP248_K6_DATENVERKNUEPFUNG}} | |
| K7 | Daten zu schutzbeduerftigen Betroffenen (Kinder, Beschaeftigte, Patienten) | {{WP248_K7_SCHUTZBEDUERFTIGE_BETROFFENE}} | |
| K8 | Innovative Nutzung oder Anwendung neuer technologischer Loesungen | {{WP248_K8_INNOVATIVE_TECHNOLOGIE}} | |
| K9 | Verarbeitung, die Betroffene an der Ausuebung eines Rechts oder der Nutzung einer Dienstleistung hindert | {{WP248_K9_RECHTSAUSUEBUNG_HINDERT}} | |
### 0.2 Muss-Liste der Aufsichtsbehoerde
**Bundesland:** {{BUNDESLAND}}
**Zustaendige Aufsichtsbehoerde:** {{AUFSICHTSBEHOERDE}}
**Referenz:** {{MUSS_LISTEN_REFERENZ}}
### 0.3 Ergebnis der Schwellwertanalyse
{{SCHWELLWERT_ERGEBNIS}}
---
## 1. Allgemeine Informationen und Verarbeitungsbeschreibung
| Feld | Inhalt |
|------|--------|
| **Organisation** | {{ORGANISATION_NAME}} |
| **Adresse** | {{ORGANISATION_ADRESSE}} |
| **Datenschutzbeauftragter** | {{DSB_NAME}} |
| **DSB-Kontakt** | {{DSB_KONTAKT}} |
| **Erstellt von** | {{ERSTELLT_VON}} |
| **Erstellt am** | {{ERSTELLT_AM}} |
{{#IF GENEHMIGT_VON}}| **Genehmigt von** | {{GENEHMIGT_VON}} |
| **Genehmigt am** | {{GENEHMIGT_AM}} |
{{/IF}}
### 1.1 Bezeichnung der Verarbeitungstaetigkeit
**{{VERARBEITUNG_TITEL}}**
### 1.2 Beschreibung der Verarbeitung
{{VERARBEITUNG_BESCHREIBUNG}}
### 1.3 Umfang und Kontext
| Aspekt | Beschreibung |
|--------|--------------|
| **Umfang** | {{VERARBEITUNG_UMFANG}} |
| **Kontext** | {{VERARBEITUNG_KONTEXT}} |
| **Eingesetzte Verarbeitungsmittel** | {{VERARBEITUNGSMITTEL}} |
### 1.4 Zweck der Verarbeitung
{{ZWECK_VERARBEITUNG}}
### 1.5 Rechtsgrundlage
**Rechtsgrundlage:** {{RECHTSGRUNDLAGE}}
{{#IF RECHTSGRUNDLAGE_DETAILS}}
**Erlaeuterung:** {{RECHTSGRUNDLAGE_DETAILS}}
{{/IF}}
### 1.6 Verarbeitete Datenkategorien
{{DATENKATEGORIEN}}
### 1.7 Betroffene Personengruppen
{{BETROFFENENGRUPPEN}}
### 1.8 Empfaenger und Auftragsverarbeiter
{{EMPFAENGER}}
{{#IF DRITTLANDTRANSFER}}
### 1.9 Uebermittlung in Drittlaender
{{DRITTLANDTRANSFER}}
{{/IF}}
### 1.10 Speicherdauer und Loeschfristen
{{SPEICHERDAUER}}
{{#IF GEMEINSAME_VERANTWORTUNG_DETAILS}}
### 1.11 Gemeinsame Verantwortlichkeit (Art. 26 DS-GVO)
{{GEMEINSAME_VERANTWORTUNG_DETAILS}}
{{/IF}}
{{#IF AUFTRAGSVERARBEITER_DETAILS}}
### 1.12 Auftragsverarbeitung (Art. 28 DS-GVO)
{{AUFTRAGSVERARBEITER_DETAILS}}
{{/IF}}
---
## 2. Notwendigkeit und Verhaeltnismaessigkeit
### 2.1 Notwendigkeit der Verarbeitung
{{NOTWENDIGKEIT_BEWERTUNG}}
### 2.2 Verhaeltnismaessigkeit
{{VERHAELTNISMAESSIGKEIT_BEWERTUNG}}
### 2.3 Pruefung der Grundsaetze (Art. 5 DS-GVO)
| Grundsatz | Einhaltung | Nachweis |
|-----------|------------|----------|
| **Zweckbindung** (Art. 5 Abs. 1 lit. b) | Die Verarbeitung erfolgt ausschliesslich fuer die angegebenen Zwecke. | Siehe Abschnitt 1.4 |
| **Datenminimierung** (Art. 5 Abs. 1 lit. c) | {{DATENMINIMIERUNG_NACHWEIS}} | |
| **Richtigkeit** (Art. 5 Abs. 1 lit. d) | Verfahren zur Sicherstellung der Datenqualitaet sind implementiert. | |
| **Speicherbegrenzung** (Art. 5 Abs. 1 lit. e) | {{SPEICHERBEGRENZUNG_NACHWEIS}} | |
| **Integritaet und Vertraulichkeit** (Art. 5 Abs. 1 lit. f) | Technische und organisatorische Massnahmen gemaess Abschnitt 5 umgesetzt. | Siehe Abschnitt 5 |
### 2.4 Pruefung alternativer Verarbeitungsmoeglichkeiten
{{ALTERNATIVEN_GEPRUEFT}}
---
## 3. Risikobewertung
### 3.1 Methodik
{{RISIKO_METHODIK}}
Die Risikobewertung erfolgt anhand zweier Dimensionen:
- **Schwere des Schadens** fuer die Betroffenen (gering / ueberschaubar / substanziell / gross)
- **Eintrittswahrscheinlichkeit** (gering / mittel / hoch / sehr hoch)
| | Schwere: Gering | Schwere: Ueberschaubar | Schwere: Substanziell | Schwere: Gross |
|---|---|---|---|---|
| **Wahrscheinlichkeit: Sehr hoch** | Mittel | Hoch | Sehr hoch | Sehr hoch |
| **Wahrscheinlichkeit: Hoch** | Niedrig | Mittel | Hoch | Sehr hoch |
| **Wahrscheinlichkeit: Mittel** | Niedrig | Niedrig | Mittel | Hoch |
| **Wahrscheinlichkeit: Gering** | Niedrig | Niedrig | Niedrig | Mittel |
### 3.2 Identifizierte Risiken
{{RISIKEN_TABELLE}}
### 3.3 Gesamtrisikobewertung
{{GESAMT_RISIKO_NIVEAU}}
---
## 4. Konsultation der Betroffenen und Interessentraeger
### 4.1 Konsultation der Betroffenen (Art. 35 Abs. 9 DS-GVO)
{{#IF KONSULTATION_BETROFFENE}}
{{KONSULTATION_BETROFFENE}}
{{/IF}}
{{#IF_NOT KONSULTATION_BETROFFENE}}
Eine Konsultation der Betroffenen wurde nicht durchgefuehrt. Begruendung: [Bitte ergaenzen z. B. Unverhaeltnismaessigkeit, Geheimhaltungsinteressen, fehlende Praktikabilitaet].
{{/IF_NOT}}
{{#IF KONSULTATION_BETRIEBSRAT}}
### 4.2 Beteiligung der Arbeitnehmervertretung
{{KONSULTATION_BETRIEBSRAT}}
{{/IF}}
---
## 5. Technische und organisatorische Massnahmen (TOM)
Die Massnahmen sind nach den sieben Gewaehrleistungszielen des Standard-Datenschutzmodells (SDM V3.1a) strukturiert.
### 5.1 Verfuegbarkeit
Ziel: Personenbezogene Daten stehen zeitgerecht zur Verfuegung und koennen ordnungsgemaess verarbeitet werden.
{{TOM_VERFUEGBARKEIT}}
### 5.2 Integritaet
Ziel: Personenbezogene Daten bleiben waehrend der Verarbeitung unversehrt, vollstaendig und aktuell.
{{TOM_INTEGRITAET}}
### 5.3 Vertraulichkeit
Ziel: Nur befugte Personen koennen personenbezogene Daten zur Kenntnis nehmen.
{{TOM_VERTRAULICHKEIT}}
### 5.4 Nichtverkettung
Ziel: Personenbezogene Daten werden nur fuer den Zweck verarbeitet, zu dem sie erhoben wurden.
{{TOM_NICHTVERKETTUNG}}
### 5.5 Transparenz
Ziel: Betroffene, der Verantwortliche und die Aufsichtsbehoerde koennen die Verarbeitung nachvollziehen.
{{TOM_TRANSPARENZ}}
### 5.6 Intervenierbarkeit
Ziel: Betroffenenrechte (Auskunft, Berichtigung, Loeschung, Widerspruch) koennen wirksam ausgeuebt werden.
{{TOM_INTERVENIERBARKEIT}}
### 5.7 Datenminimierung
Ziel: Die Verarbeitung beschraenkt sich auf das erforderliche Mass.
{{TOM_DATENMINIMIERUNG}}
---
## 6. Stellungnahme des Datenschutzbeauftragten
### 6.1 Konsultation des DSB
{{DSB_STELLUNGNAHME}}
{{#IF DSB_DATUM}}
**Datum der Stellungnahme:** {{DSB_DATUM}}
{{/IF}}
### 6.2 Pruefung der Konsultationspflicht (Art. 36 DS-GVO)
Sofern das Restrisiko nach Umsetzung aller Massnahmen **hoch** bleibt, ist vor Beginn der Verarbeitung die zustaendige Aufsichtsbehoerde zu konsultieren (Art. 36 Abs. 1 DS-GVO).
{{#IF ART36_BEGRUENDUNG}}
{{ART36_BEGRUENDUNG}}
{{/IF}}
{{#IF_NOT ART36_BEGRUENDUNG}}
Nach Umsetzung der beschriebenen Massnahmen wird das Restrisiko als akzeptabel eingestuft. Eine Konsultation der Aufsichtsbehoerde ist nicht erforderlich.
{{/IF_NOT}}
---
## 7. Ergebnis und Ueberprufungsplan
### 7.1 Ergebnis der DSFA
{{DSFA_ERGEBNIS}}
### 7.2 Restrisikobewertung
{{RESTRISIKO_BEWERTUNG}}
### 7.3 Ueberprufungsplan
| Aspekt | Festlegung |
|--------|------------|
| **Regelmaessiges Ueberprufungsintervall** | {{UEBERPRUFUNGSINTERVALL}} |
| **Naechste geplante Ueberprufung** | {{NAECHSTE_UEBERPRUFUNG}} |
### 7.4 Trigger fuer ausserplanmaessige Ueberprufung
{{AENDERUNGSTRIGGER}}
---
{{#IF KI_SYSTEME_DETAILS}}
## 8. KI-spezifisches Modul (EU AI Act)
Dieses Kapitel ist relevant, da KI-Systeme in der beschriebenen Verarbeitung eingesetzt werden.
### 8.1 Eingesetzte KI-Systeme
{{KI_SYSTEME_DETAILS}}
### 8.2 Grundrechtliche Folgenabschaetzung (Art. 27 KI-VO)
{{KI_GRUNDRECHTSPRUEFUNG}}
{{/IF}}
---
## Unterschriften
| Rolle | Name | Datum | Unterschrift |
|-------|------|-------|--------------|
| Erstellt von | {{ERSTELLT_VON}} | {{ERSTELLT_AM}} | _________________ |
{{#IF GENEHMIGT_VON}}| Datenschutzbeauftragter | {{GENEHMIGT_VON}} | {{GENEHMIGT_AM}} | _________________ |
{{/IF}}
| Verantwortlicher | | | _________________ |
---
*Erstellt mit BreakPilot Compliance. Dieses Dokument ist vertraulich und nur fuer den internen Gebrauch bestimmt.*
$template$
) ON CONFLICT DO NOTHING;

247
document-templates/migrations/002_tom_sdm_template.sql Normal file
View File

@@ -0,0 +1,247 @@
-- Migration 002: TOM Template V2 — nach SDM-Gewaehrleistungszielen
-- Archiviert V1 und fuegt SDM-strukturierte TOM-Dokumentation ein.
-- 1. Bestehende V1 archivieren
UPDATE compliance.compliance_legal_templates
SET status = 'archived', updated_at = NOW()
WHERE document_type = 'tom_documentation'
AND status = 'published';
-- 2. TOM V2 einfuegen
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'tom_documentation',
'Technische und Organisatorische Massnahmen (TOM) nach SDM V3.1a',
'TOM-Dokumentation strukturiert nach den sieben Gewaehrleistungszielen des Standard-Datenschutzmodells (SDM V3.1a). Mit sektorspezifischen Ergaenzungen und Compliance-Bewertung.',
'de',
'EU/DSGVO',
'2.0',
'published',
'MIT',
'BreakPilot Compliance',
false,
true,
CAST('[
"{{ORGANISATION_NAME}}",
"{{ORGANISATION_ADRESSE}}",
"{{DSB_NAME}}",
"{{DSB_KONTAKT}}",
"{{ERSTELLT_VON}}",
"{{ERSTELLT_AM}}",
"{{VERSION}}",
"{{GELTUNGSBEREICH}}",
"{{SCHUTZBEDARF_VERTRAULICHKEIT}}",
"{{SCHUTZBEDARF_INTEGRITAET}}",
"{{SCHUTZBEDARF_VERFUEGBARKEIT}}",
"{{GESAMTSCHUTZNIVEAU}}",
"{{TOM_VERFUEGBARKEIT}}",
"{{TOM_INTEGRITAET}}",
"{{TOM_VERTRAULICHKEIT}}",
"{{TOM_NICHTVERKETTUNG}}",
"{{TOM_TRANSPARENZ}}",
"{{TOM_INTERVENIERBARKEIT}}",
"{{TOM_DATENMINIMIERUNG}}",
"{{TOM_SEKTOR_ERGAENZUNGEN}}",
"{{COMPLIANCE_BEWERTUNG}}",
"{{NAECHSTE_UEBERPRUFUNG}}",
"{{UEBERPRUFUNGSINTERVALL}}"
]' AS jsonb),
$template$# Technische und Organisatorische Massnahmen (TOM)
**gemaess Art. 32 DS-GVO strukturiert nach SDM V3.1a**
---
## 1. Allgemeine Informationen
| Feld | Inhalt |
|------|--------|
| **Organisation** | {{ORGANISATION_NAME}} |
| **Adresse** | {{ORGANISATION_ADRESSE}} |
| **Datenschutzbeauftragter** | {{DSB_NAME}} ({{DSB_KONTAKT}}) |
| **Erstellt von** | {{ERSTELLT_VON}} |
| **Erstellt am** | {{ERSTELLT_AM}} |
| **Version** | {{VERSION}} |
### 1.1 Geltungsbereich
{{GELTUNGSBEREICH}}
---
## 2. Schutzbedarfsanalyse
Die Schutzbedarfsanalyse bildet die Grundlage fuer die Auswahl angemessener Massnahmen. Der Schutzbedarf wird fuer die drei klassischen Schutzziele bewertet.
| Schutzziel | Schutzbedarf | Begruendung |
|------------|-------------|-------------|
| **Vertraulichkeit** | {{SCHUTZBEDARF_VERTRAULICHKEIT}} | |
| **Integritaet** | {{SCHUTZBEDARF_INTEGRITAET}} | |
| **Verfuegbarkeit** | {{SCHUTZBEDARF_VERFUEGBARKEIT}} | |
**Gesamtschutzniveau:** {{GESAMTSCHUTZNIVEAU}}
*Bewertungsskala: normal / hoch / sehr hoch*
---
## 3. Massnahmen nach SDM-Gewaehrleistungszielen
Die folgende Struktur folgt den sieben Gewaehrleistungszielen des Standard-Datenschutzmodells (SDM V3.1a) der Datenschutzkonferenz.
### 3.1 Verfuegbarkeit
**Ziel:** Personenbezogene Daten stehen zeitgerecht zur Verfuegung und koennen ordnungsgemaess verarbeitet werden.
**Referenz:** SDM-Baustein 11 (Aufbewahren)
{{TOM_VERFUEGBARKEIT}}
| Massnahme | Typ | Status | Verantwortlich | Pruefintervall |
|-----------|-----|--------|----------------|----------------|
| Redundante Datenhaltung (RAID, Replikation) | technisch | | IT-Betrieb | 12 Monate |
| Regelmaessige Backups (taeglich inkrementell, woechentlich voll) | technisch | | IT-Betrieb | 6 Monate |
| Disaster-Recovery-Plan mit dokumentierten RTO/RPO | organisatorisch | | IT-Sicherheit | 12 Monate |
| USV und Notstromversorgung | technisch | | Facility Mgmt | 12 Monate |
| Wiederherstellungstests (mind. jaehrlich) | organisatorisch | | IT-Betrieb | 12 Monate |
### 3.2 Integritaet
**Ziel:** Personenbezogene Daten bleiben waehrend der Verarbeitung unversehrt, vollstaendig und aktuell.
**Referenz:** SDM-Baustein 61 (Berichtigen)
{{TOM_INTEGRITAET}}
| Massnahme | Typ | Status | Verantwortlich | Pruefintervall |
|-----------|-----|--------|----------------|----------------|
| Pruefsummen und digitale Signaturen | technisch | | IT-Entwicklung | 12 Monate |
| Eingabevalidierung und Plausibilitaetspruefungen | technisch | | IT-Entwicklung | bei Release |
| Change-Management-Verfahren | organisatorisch | | IT-Betrieb | 12 Monate |
| Versionierung von Datensaetzen | technisch | | IT-Entwicklung | 12 Monate |
### 3.3 Vertraulichkeit
**Ziel:** Nur befugte Personen koennen personenbezogene Daten zur Kenntnis nehmen.
**Referenz:** SDM-Baustein 51 (Zugriffe regeln)
{{TOM_VERTRAULICHKEIT}}
| Massnahme | Typ | Status | Verantwortlich | Pruefintervall |
|-----------|-----|--------|----------------|----------------|
| Verschluesselung im Transit (TLS 1.3) | technisch | | IT-Sicherheit | 12 Monate |
| Verschluesselung at Rest (AES-256) | technisch | | IT-Sicherheit | 12 Monate |
| Rollenbasiertes Zugriffskonzept (RBAC, Least Privilege) | technisch | | IT-Sicherheit | 6 Monate |
| Multi-Faktor-Authentifizierung (MFA) | technisch | | IT-Sicherheit | 12 Monate |
| Physische Zutrittskontrolle (Schluessel, Kartenleser) | technisch | | Facility Mgmt | 12 Monate |
| Vertraulichkeitsverpflichtung Mitarbeitende | organisatorisch | | HR / DSB | bei Eintritt |
| Passwortrichtlinie (Komplexitaet, Ablauf, Historie) | organisatorisch | | IT-Sicherheit | 12 Monate |
### 3.4 Nichtverkettung
**Ziel:** Personenbezogene Daten werden nur fuer den Zweck verarbeitet, zu dem sie erhoben wurden.
**Referenz:** SDM-Baustein 50 (Trennen)
{{TOM_NICHTVERKETTUNG}}
| Massnahme | Typ | Status | Verantwortlich | Pruefintervall |
|-----------|-----|--------|----------------|----------------|
| Mandantentrennung (logisch oder physisch) | technisch | | IT-Architektur | 12 Monate |
| Pseudonymisierung wo fachlich moeglich | technisch | | IT-Entwicklung | 12 Monate |
| Zweckbindungspruefung bei neuen Datennutzungen | organisatorisch | | DSB | bei Bedarf |
| Getrennte Datenbanken je Verarbeitungszweck | technisch | | IT-Architektur | 12 Monate |
### 3.5 Transparenz
**Ziel:** Betroffene, der Verantwortliche und die Aufsichtsbehoerde koennen die Verarbeitung nachvollziehen.
**Referenz:** SDM-Baustein 42 (Dokumentieren), SDM-Baustein 43 (Protokollieren)
{{TOM_TRANSPARENZ}}
| Massnahme | Typ | Status | Verantwortlich | Pruefintervall |
|-----------|-----|--------|----------------|----------------|
| Verzeichnis der Verarbeitungstaetigkeiten (Art. 30) | organisatorisch | | DSB | 12 Monate |
| Vollstaendiges Audit-Log aller Datenzugriffe | technisch | | IT-Betrieb | 6 Monate |
| Datenschutzerklaerung (Art. 13/14 DS-GVO) | organisatorisch | | DSB / Recht | bei Aenderung |
| Dokumentierte Prozesse fuer Datenpannen-Meldung | organisatorisch | | DSB | 12 Monate |
### 3.6 Intervenierbarkeit
**Ziel:** Betroffenenrechte (Auskunft, Berichtigung, Loeschung, Widerspruch) koennen wirksam ausgeuebt werden.
**Referenz:** SDM-Baustein 60 (Loeschen), SDM-Baustein 61 (Berichtigen), SDM-Baustein 62 (Einschraenken)
{{TOM_INTERVENIERBARKEIT}}
| Massnahme | Typ | Status | Verantwortlich | Pruefintervall |
|-----------|-----|--------|----------------|----------------|
| Prozess fuer Betroffenenanfragen (Auskunft, Loeschung, Berichtigung) | organisatorisch | | DSB | 12 Monate |
| Technische Loeschfaehigkeit mit Nachweis | technisch | | IT-Entwicklung | 12 Monate |
| Datenexport in maschinenlesbarem Format (Art. 20) | technisch | | IT-Entwicklung | 12 Monate |
| Sperrfunktion (Einschraenkung der Verarbeitung) | technisch | | IT-Entwicklung | 12 Monate |
| Widerspruchsmoeglichkeit gegen Verarbeitung | organisatorisch | | DSB | 12 Monate |
### 3.7 Datenminimierung
**Ziel:** Die Verarbeitung beschraenkt sich auf das erforderliche Mass.
**Referenz:** SDM-Baustein 41 (Planen und Spezifizieren)
{{TOM_DATENMINIMIERUNG}}
| Massnahme | Typ | Status | Verantwortlich | Pruefintervall |
|-----------|-----|--------|----------------|----------------|
| Regelmaessige Pruefung der Erforderlichkeit | organisatorisch | | DSB | 12 Monate |
| Automatisierte Loeschung nach Fristablauf | technisch | | IT-Entwicklung | 6 Monate |
| Anonymisierung fuer statistische Zwecke | technisch | | IT-Entwicklung | bei Bedarf |
| Privacy by Design bei neuen Verarbeitungen | organisatorisch | | IT-Architektur / DSB | bei Bedarf |
| Loeschfristenkatalog (dokumentiert) | organisatorisch | | DSB / Recht | 12 Monate |
---
## 4. Sektorspezifische Ergaenzungen
{{#IF TOM_SEKTOR_ERGAENZUNGEN}}
{{TOM_SEKTOR_ERGAENZUNGEN}}
{{/IF}}
{{#IF_NOT TOM_SEKTOR_ERGAENZUNGEN}}
Keine sektorspezifischen Ergaenzungen erforderlich.
{{/IF_NOT}}
---
## 5. Compliance-Bewertung
{{#IF COMPLIANCE_BEWERTUNG}}
{{COMPLIANCE_BEWERTUNG}}
{{/IF}}
{{#IF_NOT COMPLIANCE_BEWERTUNG}}
Die Compliance-Bewertung erfolgt nach erstmaliger Implementierung aller Massnahmen.
{{/IF_NOT}}
---
## 6. Ueberprufungsplan
| Aspekt | Festlegung |
|--------|------------|
| **Regelmaessige Ueberprufung** | {{UEBERPRUFUNGSINTERVALL}} |
| **Naechste geplante Ueberprufung** | {{NAECHSTE_UEBERPRUFUNG}} |
**Trigger fuer ausserplanmaessige Ueberprufung:**
- Sicherheitsvorfall oder Datenpanne
- Wesentliche Aenderung der Verarbeitungssysteme
- Neue regulatorische Anforderungen (z. B. NIS2, AI Act)
- Ergebnisse interner oder externer Audits
---
*Erstellt mit BreakPilot Compliance. Struktur basiert auf dem Standard-Datenschutzmodell (SDM V3.1a) der Datenschutzkonferenz.*
$template$
) ON CONFLICT DO NOTHING;

663
document-templates/migrations/003_vvt_sector_templates.sql Normal file
View File

@@ -0,0 +1,663 @@
-- Migration 003: VVT Sector Templates — Branchenspezifische Verarbeitungsverzeichnisse
-- 6 Branchen-Muster + 1 allgemeine V2-Vorlage
-- 1. Bestehende V1 archivieren
UPDATE compliance.compliance_legal_templates
SET status = 'archived', updated_at = NOW()
WHERE document_type = 'vvt_register'
AND status = 'published';
-- 2. Allgemeine VVT V2 Vorlage (branchenuebergreifend)
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'vvt_register',
'Verzeichnis von Verarbeitungstaetigkeiten (VVT) gemaess Art. 30 DS-GVO — V2',
'Erweiterte VVT-Vorlage mit vollstaendiger Art. 30 Struktur, Loeschfristen-Integration und DSFA-Verweis. Branchenuebergreifend einsetzbar.',
'de',
'EU/DSGVO',
'2.0',
'published',
'MIT',
'BreakPilot Compliance',
false,
true,
CAST('[
"{{ORGANISATION_NAME}}",
"{{ORGANISATION_ADRESSE}}",
"{{VERTRETER_NAME}}",
"{{DSB_NAME}}",
"{{DSB_KONTAKT}}",
"{{ERSTELLT_AM}}",
"{{VERSION}}",
"{{VVT_NR}}",
"{{VERARBEITUNG_NAME}}",
"{{VERARBEITUNG_BESCHREIBUNG}}",
"{{ZWECKE}}",
"{{RECHTSGRUNDLAGEN}}",
"{{BETROFFENE}}",
"{{DATENKATEGORIEN}}",
"{{EMPFAENGER}}",
"{{DRITTLAND}}",
"{{DRITTLAND_GARANTIEN}}",
"{{LOESCHFRISTEN}}",
"{{TOM_REFERENZ}}",
"{{SYSTEME}}",
"{{VERANTWORTLICHER}}",
"{{RISIKOBEWERTUNG}}",
"{{DSFA_ERFORDERLICH}}",
"{{LETZTE_PRUEFUNG}}",
"{{NAECHSTE_PRUEFUNG}}",
"{{STATUS}}"
]' AS jsonb),
$template$# Verzeichnis von Verarbeitungstaetigkeiten (VVT)
**gemaess Art. 30 DS-GVO**
---
## Angaben zum Verantwortlichen
| Feld | Inhalt |
|------|--------|
| **Name / Firma** | {{ORGANISATION_NAME}} |
| **Adresse** | {{ORGANISATION_ADRESSE}} |
| **Vertreter des Verantwortlichen** | {{VERTRETER_NAME}} |
| **Datenschutzbeauftragter** | {{DSB_NAME}} ({{DSB_KONTAKT}}) |
| **Stand** | {{ERSTELLT_AM}} |
| **Version** | {{VERSION}} |
---
## Verarbeitungstaetigkeit
### Stammdaten
| Pflichtfeld (Art. 30) | Inhalt |
|------------------------|--------|
| **VVT-Nr.** | {{VVT_NR}} |
| **Bezeichnung** | {{VERARBEITUNG_NAME}} |
| **Beschreibung** | {{VERARBEITUNG_BESCHREIBUNG}} |
### Zweck und Rechtsgrundlage
| Pflichtfeld | Inhalt |
|-------------|--------|
| **Zweck(e) der Verarbeitung** | {{ZWECKE}} |
| **Rechtsgrundlage(n)** | {{RECHTSGRUNDLAGEN}} |
### Betroffene und Daten
| Pflichtfeld | Inhalt |
|-------------|--------|
| **Kategorien betroffener Personen** | {{BETROFFENE}} |
| **Kategorien personenbezogener Daten** | {{DATENKATEGORIEN}} |
### Empfaenger und Uebermittlung
| Pflichtfeld | Inhalt |
|-------------|--------|
| **Kategorien von Empfaengern** | {{EMPFAENGER}} |
{{#IF DRITTLAND}}
| **Uebermittlung in Drittlaender** | {{DRITTLAND}} |
| **Geeignete Garantien (Art. 46)** | {{DRITTLAND_GARANTIEN}} |
{{/IF}}
### Fristen und Schutzmassnahmen
| Pflichtfeld | Inhalt |
|-------------|--------|
| **Loeschfristen** | {{LOESCHFRISTEN}} |
| **TOM-Beschreibung (Art. 32)** | {{TOM_REFERENZ}} |
### Zusaetzliche Angaben (empfohlen)
| Feld | Inhalt |
|------|--------|
| **Eingesetzte Systeme** | {{SYSTEME}} |
| **Verantwortliche Abteilung** | {{VERANTWORTLICHER}} |
| **Risikobewertung** | {{RISIKOBEWERTUNG}} |
| **DSFA erforderlich?** | {{DSFA_ERFORDERLICH}} |
| **Letzte Pruefung** | {{LETZTE_PRUEFUNG}} |
| **Naechste Pruefung** | {{NAECHSTE_PRUEFUNG}} |
| **Status** | {{STATUS}} |
---
*Erstellt mit BreakPilot Compliance. Struktur entspricht Art. 30 Abs. 1 DS-GVO.*
$template$
) ON CONFLICT DO NOTHING;
-- 3. VVT Branchenvorlage: IT / SaaS
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'vvt_register',
'VVT Branchenvorlage: IT / SaaS-Unternehmen',
'Vorbefuelltes Verarbeitungsverzeichnis mit typischen Verarbeitungstaetigkeiten eines IT- oder SaaS-Unternehmens. Enthalt 8 Standard-Verarbeitungen.',
'de', 'EU/DSGVO', '2.0', 'published', 'MIT', 'BreakPilot Compliance', false, true,
'[]'::jsonb,
$template$# VVT Branchenvorlage: IT / SaaS-Unternehmen
Die folgenden Verarbeitungstaetigkeiten sind typisch fuer IT- und SaaS-Unternehmen. Bitte pruefen und an Ihre konkrete Situation anpassen.
---
## VVT-001: SaaS-Plattformbetrieb
| Feld | Inhalt |
|------|--------|
| **Zweck** | Bereitstellung und Betrieb der SaaS-Plattform fuer Kunden |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfullung) |
| **Betroffene** | Kunden, Endnutzer der Plattform |
| **Datenkategorien** | Stammdaten, Nutzungsdaten, Inhaltsdaten, technische Logdaten |
| **Empfaenger** | Hosting-Anbieter (AVV), Support-Dienstleister (AVV) |
| **Loeschfrist** | 90 Tage nach Vertragsende + gesetzliche Aufbewahrungsfristen |
| **TOM** | Siehe TOM-Dokumentation: Mandantentrennung, Verschluesselung, RBAC |
| **DSFA erforderlich?** | Abhaengig von Art und Umfang der verarbeiteten Daten |
## VVT-002: Kundenverwaltung / CRM
| Feld | Inhalt |
|------|--------|
| **Zweck** | Verwaltung von Kundenbeziehungen, Vertragsmanagement |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfullung) |
| **Betroffene** | Kunden, Ansprechpartner, Interessenten |
| **Datenkategorien** | Kontaktdaten, Vertragsdaten, Kommunikationshistorie |
| **Empfaenger** | CRM-Anbieter (AVV), ggf. Vertriebspartner |
| **Loeschfrist** | 3 Jahre nach letztem Kontakt (Verjaeherung), 10 Jahre Rechnungsdaten (HGB/AO) |
| **TOM** | Zugriffsbeschraenkung auf Vertrieb/Support, Protokollierung |
## VVT-003: E-Mail-Marketing / Newsletter
| Feld | Inhalt |
|------|--------|
| **Zweck** | Versand von Produkt-Updates, Marketing-Newsletter |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung) + UWG §7 |
| **Betroffene** | Newsletter-Abonnenten |
| **Datenkategorien** | E-Mail-Adresse, Name, Oeffnungs-/Klickverhalten |
| **Empfaenger** | E-Mail-Dienstleister (AVV) |
| **Loeschfrist** | Unverzueglich nach Widerruf der Einwilligung |
| **TOM** | Double-Opt-In, einfache Abmeldefunktion |
## VVT-004: Webanalyse
| Feld | Inhalt |
|------|--------|
| **Zweck** | Analyse der Website-Nutzung zur Verbesserung des Angebots |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung via Cookie-Banner) |
| **Betroffene** | Website-Besucher |
| **Datenkategorien** | IP-Adresse (anonymisiert), Seitenaufrufe, Verweildauer, Geraeteinformationen |
| **Empfaenger** | Analyse-Anbieter (AVV) |
| **Loeschfrist** | 14 Monate (max. Cookie-Laufzeit) |
| **TOM** | IP-Anonymisierung, Cookie-Consent-Management (TDDDG §25) |
## VVT-005: Bewerbermanagement
| Feld | Inhalt |
|------|--------|
| **Zweck** | Bearbeitung von Bewerbungen, Auswahlverfahren |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO i.V.m. §26 BDSG (Beschaeftigungsverhaeltnis) |
| **Betroffene** | Bewerberinnen und Bewerber |
| **Datenkategorien** | Kontaktdaten, Lebenslauf, Qualifikationen, Bewerbungsunterlagen |
| **Empfaenger** | Fachabteilung, ggf. Personaldienstleister (AVV) |
| **Loeschfrist** | 6 Monate nach Abschluss des Verfahrens (AGG-Frist) |
| **TOM** | Zugriffsschutz auf Bewerbungsportal, verschluesselte Uebertragung |
## VVT-006: Mitarbeiterverwaltung / HR
| Feld | Inhalt |
|------|--------|
| **Zweck** | Personalverwaltung, Lohn-/Gehaltsabrechnung, Arbeitszeiterfassung |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b/c DS-GVO i.V.m. §26 BDSG |
| **Betroffene** | Beschaeftigte |
| **Datenkategorien** | Stammdaten, Vertragsdaten, Bankverbindung, Sozialversicherung, Arbeitszeitdaten |
| **Empfaenger** | Lohnbuero (AVV), Finanzamt, Sozialversicherungstraeger |
| **Loeschfrist** | 10 Jahre nach Austritt (steuerliche Aufbewahrung), Personalakte 3 Jahre |
| **TOM** | Besonderer Zugriffsschutz (nur HR), verschluesselte Speicherung |
## VVT-007: Support-Ticketing
| Feld | Inhalt |
|------|--------|
| **Zweck** | Bearbeitung von Kundenanfragen und Stoerungsmeldungen |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfullung) |
| **Betroffene** | Kunden, Endnutzer |
| **Datenkategorien** | Kontaktdaten, Ticket-Inhalt, Screenshots, Systemlogs |
| **Empfaenger** | Support-Tool-Anbieter (AVV), ggf. Entwicklungsteam |
| **Loeschfrist** | 2 Jahre nach Ticket-Schliessung |
| **TOM** | Rollenbasierter Zugriff, Pseudonymisierung in internen Reports |
## VVT-008: Logging und Monitoring
| Feld | Inhalt |
|------|--------|
| **Zweck** | Sicherheitsueberwachung, Fehleranalyse, Leistungsoptimierung |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse: IT-Sicherheit) |
| **Betroffene** | Nutzer der Plattform, Administratoren |
| **Datenkategorien** | IP-Adressen, Zugriffszeitpunkte, Fehlerprotokolle, Performance-Metriken |
| **Empfaenger** | Log-Management-Anbieter (AVV) |
| **Loeschfrist** | 30 Tage Anwendungslogs, 90 Tage Sicherheitslogs |
| **TOM** | Zugriffsschutz auf Logdaten, automatische Rotation |
---
*Erstellt mit BreakPilot Compliance. Branchenvorlage IT / SaaS.*
$template$
) ON CONFLICT DO NOTHING;
-- 4. VVT Branchenvorlage: Gesundheitswesen
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'vvt_register',
'VVT Branchenvorlage: Gesundheitswesen',
'Vorbefuelltes Verarbeitungsverzeichnis mit typischen Verarbeitungen im Gesundheitswesen (Arztpraxis, MVZ, Klinik). Beruecksichtigt Art. 9 DS-GVO besondere Kategorien.',
'de', 'EU/DSGVO', '2.0', 'published', 'MIT', 'BreakPilot Compliance', false, true,
'[]'::jsonb,
$template$# VVT Branchenvorlage: Gesundheitswesen
Typische Verarbeitungstaetigkeiten fuer Arztpraxen, MVZ und Kliniken. **Besonderheit:** Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO Gesundheitsdaten).
---
## VVT-G01: Patientenverwaltung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Fuehrung der Patientenakte, Behandlungsdokumentation |
| **Rechtsgrundlage** | Art. 9 Abs. 2 lit. h DS-GVO i.V.m. §630f BGB (Dokumentationspflicht) |
| **Betroffene** | Patienten |
| **Datenkategorien** | Stammdaten, Versicherungsdaten, Diagnosen, Befunde, Behandlungsverlaeufe (Art. 9) |
| **Empfaenger** | Praxisverwaltungssystem-Anbieter (AVV), Labor (AVV), ueberweisende Aerzte |
| **Loeschfrist** | 10 Jahre nach letzter Behandlung (§630f Abs. 3 BGB), Strahlenpass 30 Jahre |
| **TOM** | Verschluesselung Patientenakte, Zugriffsschutz (nur behandelnde Aerzte), Notfallzugriff |
| **DSFA erforderlich?** | Ja (umfangreiche Verarbeitung Art. 9 Daten) |
## VVT-G02: Terminmanagement
| Feld | Inhalt |
|------|--------|
| **Zweck** | Organisation und Verwaltung von Patienten-Terminen |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO (Behandlungsvertrag) |
| **Betroffene** | Patienten |
| **Datenkategorien** | Name, Kontaktdaten, Terminwunsch, ggf. Behandlungsgrund |
| **Empfaenger** | Online-Terminbuchungs-Anbieter (AVV) |
| **Loeschfrist** | 6 Monate nach Termin (sofern nicht zur Patientenakte) |
| **TOM** | Verschluesselte Uebertragung, Zugriffsschutz Terminkalender |
## VVT-G03: Abrechnung (KV / PKV)
| Feld | Inhalt |
|------|--------|
| **Zweck** | Abrechnung aerztlicher Leistungen gegenueber Krankenkassen / Privatpatienten |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. c DS-GVO (gesetzliche Pflicht), Art. 9 Abs. 2 lit. h |
| **Betroffene** | Patienten |
| **Datenkategorien** | Stammdaten, Versicherungsdaten, Diagnosen (ICD), Leistungsziffern (EBM/GOAe) |
| **Empfaenger** | KV (Kassenaerztliche Vereinigung), PKV, Abrechnungsstelle (AVV) |
| **Loeschfrist** | 10 Jahre (steuerliche Aufbewahrung AO) |
| **TOM** | Verschluesselte Datenuebermittlung (KV-Connect/KIM), Zugriffskontrolle |
## VVT-G04: Laborbefunde
| Feld | Inhalt |
|------|--------|
| **Zweck** | Beauftragung und Empfang von Laboruntersuchungen |
| **Rechtsgrundlage** | Art. 9 Abs. 2 lit. h DS-GVO |
| **Betroffene** | Patienten |
| **Datenkategorien** | Proben-ID, Untersuchungsparameter, Befundergebnisse (Art. 9) |
| **Empfaenger** | Labordienstleister (AVV) |
| **Loeschfrist** | 10 Jahre (Dokumentationspflicht) |
| **TOM** | Pseudonymisierung der Proben, verschluesselte Uebertragung |
## VVT-G05: Mitarbeiterverwaltung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Personalverwaltung, Dienstplanung, Lohnabrechnung |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b/c DS-GVO i.V.m. §26 BDSG |
| **Betroffene** | Beschaeftigte (Aerzte, MFA, Verwaltung) |
| **Datenkategorien** | Stammdaten, Vertragsdaten, Bankverbindung, Dienstzeiten |
| **Empfaenger** | Lohnbuero (AVV), Finanzamt, Sozialversicherungstraeger |
| **Loeschfrist** | 10 Jahre nach Austritt |
| **TOM** | Zugriffsschutz (nur HR/Praxisleitung) |
---
*Erstellt mit BreakPilot Compliance. Branchenvorlage Gesundheitswesen.*
$template$
) ON CONFLICT DO NOTHING;
-- 5. VVT Branchenvorlage: Handel / E-Commerce
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'vvt_register',
'VVT Branchenvorlage: Handel / E-Commerce',
'Vorbefuelltes Verarbeitungsverzeichnis fuer Online-Shops und Einzelhaendler. Beruecksichtigt TDDDG, Fernabsatzrecht und Zahlungsdienste.',
'de', 'EU/DSGVO', '2.0', 'published', 'MIT', 'BreakPilot Compliance', false, true,
'[]'::jsonb,
$template$# VVT Branchenvorlage: Handel / E-Commerce
Typische Verarbeitungstaetigkeiten fuer Online-Shops und Einzelhandel.
---
## VVT-H01: Bestellabwicklung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Bestellannahme, Versand, Rechnungsstellung |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfullung) |
| **Betroffene** | Kunden (Besteller) |
| **Datenkategorien** | Kontaktdaten, Lieferadresse, Bestelldaten, Rechnungsdaten |
| **Empfaenger** | Versanddienstleister, Zahlungsanbieter (AVV), Warenwirtschaft |
| **Loeschfrist** | 10 Jahre Rechnungsdaten (AO/HGB), 3 Jahre Bestelldaten (Verjaeherung) |
| **TOM** | Verschluesselte Uebertragung, Zugriffsschutz Bestellsystem |
## VVT-H02: Kundenkonto
| Feld | Inhalt |
|------|--------|
| **Zweck** | Bereitstellung eines Kundenkontos (optional, nicht Pflicht) |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. a/b DS-GVO |
| **Betroffene** | Registrierte Kunden |
| **Datenkategorien** | Stammdaten, Passwort (gehasht), Bestellhistorie, Wunschliste |
| **Empfaenger** | Shop-Plattform-Anbieter (AVV) |
| **Loeschfrist** | Unverzueglich nach Kontoloesch-Anfrage, Rechnungsdaten 10 Jahre |
| **TOM** | MFA-Option, sichere Passwortspeicherung (bcrypt), Gastzugang-Alternative |
## VVT-H03: Zahlungsabwicklung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Abwicklung von Zahlungsvorgaengen |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO |
| **Betroffene** | Zahlende Kunden |
| **Datenkategorien** | Zahlungsart, Transaktionsdaten (keine Kartennummern bei Tokenisierung) |
| **Empfaenger** | Payment-Service-Provider (eigene Verantwortung oder AVV) |
| **Loeschfrist** | 10 Jahre (steuerliche Aufbewahrung) |
| **TOM** | PCI-DSS Compliance, Tokenisierung, keine direkte Kartenspeicherung |
## VVT-H04: Newsletter / E-Mail-Marketing
| Feld | Inhalt |
|------|--------|
| **Zweck** | Versand von Angeboten und Produktneuheiten |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung) + UWG §7 Abs. 3 (Bestandskunden) |
| **Betroffene** | Newsletter-Abonnenten |
| **Datenkategorien** | E-Mail-Adresse, Name, Kaufhistorie (Bestandskunden), Oeffnungsraten |
| **Empfaenger** | Newsletter-Dienstleister (AVV) |
| **Loeschfrist** | Sofort nach Abmeldung |
| **TOM** | Double-Opt-In, Abmeldelink in jeder E-Mail |
## VVT-H05: Webanalyse und Tracking
| Feld | Inhalt |
|------|--------|
| **Zweck** | Analyse des Nutzerverhaltens im Shop, Conversion-Optimierung |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung, TDDDG §25) |
| **Betroffene** | Website-Besucher |
| **Datenkategorien** | Anonymisierte IP, Seitenaufrufe, Klickpfade, Warenkorbdaten |
| **Empfaenger** | Analyse-Anbieter (AVV) |
| **Loeschfrist** | 14 Monate |
| **TOM** | IP-Anonymisierung, Cookie-Consent-Management, Opt-Out |
## VVT-H06: Retouren und Widerruf
| Feld | Inhalt |
|------|--------|
| **Zweck** | Bearbeitung von Retouren und Widerrufen (Fernabsatzrecht) |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b/c DS-GVO |
| **Betroffene** | Kunden (Verbraucher) |
| **Datenkategorien** | Bestelldaten, Retourengrund, Erstattungsdaten |
| **Empfaenger** | Logistikdienstleister, Zahlungsanbieter |
| **Loeschfrist** | 3 Jahre (Verjaeherung), Buchhaltung 10 Jahre |
| **TOM** | Nachvollziehbare Retourenprozesse, Zugriffsbeschraenkung |
---
*Erstellt mit BreakPilot Compliance. Branchenvorlage Handel / E-Commerce.*
$template$
) ON CONFLICT DO NOTHING;
-- 6. VVT Branchenvorlage: Handwerk
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'vvt_register',
'VVT Branchenvorlage: Handwerksbetrieb',
'Vorbefuelltes Verarbeitungsverzeichnis fuer Handwerksbetriebe (Bau, Kfz, Elektro, etc.).',
'de', 'EU/DSGVO', '2.0', 'published', 'MIT', 'BreakPilot Compliance', false, true,
'[]'::jsonb,
$template$# VVT Branchenvorlage: Handwerksbetrieb
Typische Verarbeitungstaetigkeiten fuer Handwerksbetriebe.
---
## VVT-HW01: Kundenauftraege und Angebotserstellung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Angebotserstellung, Auftragsabwicklung, Rechnungsstellung |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfullung) |
| **Betroffene** | Kunden (Privat und Gewerbe) |
| **Datenkategorien** | Kontaktdaten, Objektadresse, Auftragsbeschreibung, Rechnungsdaten |
| **Empfaenger** | Buchhaltung, Steuerberater, ggf. Subunternehmer |
| **Loeschfrist** | 10 Jahre Rechnungen (AO/HGB), 5 Jahre Gewaehrleistung (BGB) |
| **TOM** | Zugriffskontrolle Auftragssystem, verschluesselte Speicherung |
## VVT-HW02: Mitarbeiterverwaltung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Personalverwaltung, Lohnabrechnung, Arbeitszeiterfassung |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b/c DS-GVO i.V.m. §26 BDSG |
| **Betroffene** | Beschaeftigte, Auszubildende |
| **Datenkategorien** | Stammdaten, Vertragsdaten, Bankverbindung, Arbeitszeiten, Gesundheitszeugnisse |
| **Empfaenger** | Lohnbuero (AVV), Finanzamt, Berufsgenossenschaft |
| **Loeschfrist** | 10 Jahre nach Austritt |
| **TOM** | Verschlossene Personalakte, Zugriffsschutz |
## VVT-HW03: Baustellendokumentation
| Feld | Inhalt |
|------|--------|
| **Zweck** | Dokumentation von Baufortschritt, Maengelprotokoll |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b/f DS-GVO (Vertrag + berechtigtes Interesse) |
| **Betroffene** | Kunden, Mitarbeitende auf der Baustelle |
| **Datenkategorien** | Fotos (ggf. mit Personen), Protokolle, Abnahmedokumente |
| **Empfaenger** | Auftraggeber, Architekten, Baugutachter |
| **Loeschfrist** | 5 Jahre nach Abnahme (Verjaeherung), Fotos nach Projektabschluss |
| **TOM** | Beschraenkter Zugriff auf Projektordner, keine oeffentliche Cloud ohne AVV |
## VVT-HW04: Materialwirtschaft
| Feld | Inhalt |
|------|--------|
| **Zweck** | Materialbeschaffung, Lagerverwaltung, Lieferantenmanagement |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO |
| **Betroffene** | Lieferanten (Ansprechpartner) |
| **Datenkategorien** | Firmendaten, Ansprechpartner, Bestellhistorie, Konditionen |
| **Empfaenger** | Grosshandel, Buchhaltung |
| **Loeschfrist** | 6 Jahre (Handelsbriefe HGB), 10 Jahre Rechnungen |
| **TOM** | Zugriffskontrolle ERP/Warenwirtschaft |
---
*Erstellt mit BreakPilot Compliance. Branchenvorlage Handwerksbetrieb.*
$template$
) ON CONFLICT DO NOTHING;
-- 7. VVT Branchenvorlage: Bildung
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'vvt_register',
'VVT Branchenvorlage: Bildungseinrichtung',
'Vorbefuelltes Verarbeitungsverzeichnis fuer Schulen, Hochschulen und Bildungstraeger. Beruecksichtigt Schueler-/Studentendaten als schutzbeduerftige Betroffene.',
'de', 'EU/DSGVO', '2.0', 'published', 'MIT', 'BreakPilot Compliance', false, true,
'[]'::jsonb,
$template$# VVT Branchenvorlage: Bildungseinrichtung
Typische Verarbeitungstaetigkeiten fuer Schulen, Hochschulen und Bildungstraeger.
---
## VVT-B01: Schueler-/Studierendenverwaltung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Verwaltung von Schueler-/Studierendendaten, Anmeldung, Klassenzuordnung |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. c/e DS-GVO i.V.m. Landesschulgesetz |
| **Betroffene** | Schueler/Studierende (ggf. Minderjaehrige besonders schutzbeduerftig), Erziehungsberechtigte |
| **Datenkategorien** | Stammdaten, Kontaktdaten Erziehungsberechtigte, Klassenzuordnung |
| **Empfaenger** | Schulverwaltungssoftware-Anbieter (AVV), Schulbehoerde |
| **Loeschfrist** | Gemaess Landesschulgesetz (i.d.R. 5 Jahre nach Abgang) |
| **TOM** | Besonderer Zugriffsschutz, Altersverifizierung, Einwilligung Erziehungsberechtigte |
| **DSFA erforderlich?** | Ja (schutzbeduerftige Betroffene, ggf. grosser Umfang) |
## VVT-B02: Notenverarbeitung und Zeugniserstellung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Leistungsbewertung, Zeugnis- und Notenverwaltung |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. c/e DS-GVO i.V.m. Schulgesetz |
| **Betroffene** | Schueler/Studierende |
| **Datenkategorien** | Noten, Leistungsbewertungen, Pruefungsergebnisse |
| **Empfaenger** | Lehrkraefte, Schulleitung, Pruefungsamt |
| **Loeschfrist** | Zeugniskopien: 50 Jahre (Nachweispflicht), Einzelnoten: 2 Jahre |
| **TOM** | Zugriffsbeschraenkung auf Fachlehrkraft, verschluesselte Speicherung |
## VVT-B03: Lernplattform / LMS
| Feld | Inhalt |
|------|--------|
| **Zweck** | Digitaler Unterricht, Aufgabenverteilung, Kommunikation |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. e DS-GVO (oeffentliches Interesse) / lit. a (Einwilligung bei Minderjaehrigen) |
| **Betroffene** | Schueler/Studierende, Lehrkraefte |
| **Datenkategorien** | Nutzungsdaten, eingereichte Aufgaben, Chat-Nachrichten |
| **Empfaenger** | LMS-Anbieter (AVV), Hosting-Provider (AVV) |
| **Loeschfrist** | Kursende + 1 Schuljahr |
| **TOM** | Datensparsamkeit, keine Lernanalytics ohne Einwilligung, Hosting in EU |
## VVT-B04: Elternkommunikation
| Feld | Inhalt |
|------|--------|
| **Zweck** | Information und Kommunikation mit Erziehungsberechtigten |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. e DS-GVO |
| **Betroffene** | Erziehungsberechtigte |
| **Datenkategorien** | Kontaktdaten, Nachrichteninhalt |
| **Empfaenger** | Kommunikationsplattform-Anbieter (AVV) |
| **Loeschfrist** | Ende des Schuljahres bzw. Abgang des Kindes |
| **TOM** | Verschluesselte Kommunikation, kein WhatsApp/Social Media |
---
*Erstellt mit BreakPilot Compliance. Branchenvorlage Bildungseinrichtung.*
$template$
) ON CONFLICT DO NOTHING;
-- 8. VVT Branchenvorlage: Beratung / Dienstleistung
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'vvt_register',
'VVT Branchenvorlage: Beratung / Dienstleistung',
'Vorbefuelltes Verarbeitungsverzeichnis fuer Beratungsunternehmen, Kanzleien und Dienstleister.',
'de', 'EU/DSGVO', '2.0', 'published', 'MIT', 'BreakPilot Compliance', false, true,
'[]'::jsonb,
$template$# VVT Branchenvorlage: Beratung / Dienstleistung
Typische Verarbeitungstaetigkeiten fuer Beratungsunternehmen, Kanzleien und professionelle Dienstleister.
---
## VVT-D01: Mandantenverwaltung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Verwaltung von Mandanten-/Kundenbeziehungen, Vertragsdokumentation |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfullung) |
| **Betroffene** | Mandanten, Ansprechpartner |
| **Datenkategorien** | Kontaktdaten, Vertragsdaten, Korrespondenz, Rechnungsdaten |
| **Empfaenger** | Kanzleisoftware-Anbieter (AVV), Steuerberater |
| **Loeschfrist** | 10 Jahre Rechnungen, 5 Jahre Handakten (Berufsrecht), 3 Jahre sonstige |
| **TOM** | Mandantengeheimnis, verschluesselte Speicherung, Need-to-know-Prinzip |
## VVT-D02: Projektmanagement
| Feld | Inhalt |
|------|--------|
| **Zweck** | Planung und Steuerung von Beratungsprojekten |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b/f DS-GVO |
| **Betroffene** | Projektbeteiligte (Mandant + intern) |
| **Datenkategorien** | Projektdaten, Aufgaben, Zeiterfassung, Ergebnisdokumente |
| **Empfaenger** | Projektmanagement-Tool (AVV), Mandant |
| **Loeschfrist** | 2 Jahre nach Projektabschluss |
| **TOM** | Projektspezifische Zugriffsrechte, Mandantentrennung |
## VVT-D03: Zeiterfassung und Abrechnung
| Feld | Inhalt |
|------|--------|
| **Zweck** | Erfassung geleisteter Stunden, Abrechnung gegenueber Mandanten |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b DS-GVO |
| **Betroffene** | Berater/Mitarbeitende, Mandanten |
| **Datenkategorien** | Arbeitszeiten, Taetigkeitsbeschreibungen, Stundensaetze |
| **Empfaenger** | Abrechnungssystem (AVV), Buchhaltung |
| **Loeschfrist** | 10 Jahre (steuerliche Aufbewahrung) |
| **TOM** | Zugriffsbeschraenkung (nur eigene Zeiten + Projektleitung) |
## VVT-D04: Dokumentenmanagement
| Feld | Inhalt |
|------|--------|
| **Zweck** | Verwaltung und Archivierung von Mandantendokumenten |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. b/c DS-GVO |
| **Betroffene** | Mandanten, ggf. Dritte in Dokumenten |
| **Datenkategorien** | Vertraege, Gutachten, Korrespondenz, Berichte |
| **Empfaenger** | DMS-Anbieter (AVV), Cloud-Speicher (AVV) |
| **Loeschfrist** | Gemaess Berufsrecht und Mandatsvereinbarung |
| **TOM** | Dokumentenklassifizierung, Versionierung, Zugriffsprotokollierung |
## VVT-D05: CRM und Akquise
| Feld | Inhalt |
|------|--------|
| **Zweck** | Kontaktpflege, Akquise, Beziehungsmanagement |
| **Rechtsgrundlage** | Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse: Geschaeftsanbahnung) |
| **Betroffene** | Interessenten, Geschaeftskontakte |
| **Datenkategorien** | Kontaktdaten, Firma, Branche, Gespraechsnotizen |
| **Empfaenger** | CRM-Anbieter (AVV) |
| **Loeschfrist** | 3 Jahre nach letztem Kontakt |
| **TOM** | Widerspruchsmoeglichkeit, Datenminimierung |
---
*Erstellt mit BreakPilot Compliance. Branchenvorlage Beratung / Dienstleistung.*
$template$
) ON CONFLICT DO NOTHING;

212
document-templates/migrations/004_avv_template.sql Normal file
View File

@@ -0,0 +1,212 @@
-- Migration 004: AVV Template — Auftragsverarbeitungsvertrag (Art. 28 DS-GVO)
-- Deutsche AVV-Vorlage mit allen Pflichtinhalten.
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'dpa',
'Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DS-GVO',
'Vollstaendiger Auftragsverarbeitungsvertrag mit allen Pflichtinhalten nach Art. 28 Abs. 3 DS-GVO. Inkl. TOM-Anlage und Drittlandtransfer-Klausel.',
'de',
'EU/DSGVO',
'2.0',
'published',
'MIT',
'BreakPilot Compliance',
false,
true,
CAST('[
"{{VERANTWORTLICHER_NAME}}",
"{{VERANTWORTLICHER_ADRESSE}}",
"{{VERANTWORTLICHER_VERTRETER}}",
"{{AUFTRAGSVERARBEITER_NAME}}",
"{{AUFTRAGSVERARBEITER_ADRESSE}}",
"{{AUFTRAGSVERARBEITER_VERTRETER}}",
"{{VERTRAGSGEGENSTAND}}",
"{{VERTRAGSDAUER}}",
"{{VERARBEITUNGSZWECK}}",
"{{ART_DER_VERARBEITUNG}}",
"{{DATENKATEGORIEN}}",
"{{BETROFFENE}}",
"{{UNTERAUFTRAGSVERARBEITER_LISTE}}",
"{{TOM_ANLAGE}}",
"{{DRITTLANDTRANSFER_DETAILS}}",
"{{ORT_DATUM}}",
"{{WEISUNGSBERECHTIGTER}}",
"{{KONTAKT_DATENSCHUTZ_AV}}"
]' AS jsonb),
$template$# Auftragsverarbeitungsvertrag (AVV)
**gemaess Art. 28 Abs. 3 DS-GVO**
---
## Vertragsparteien
**Verantwortlicher (Auftraggeber):**
{{VERANTWORTLICHER_NAME}}
{{VERANTWORTLICHER_ADRESSE}}
Vertreten durch: {{VERANTWORTLICHER_VERTRETER}}
**Auftragsverarbeiter (Auftragnehmer):**
{{AUFTRAGSVERARBEITER_NAME}}
{{AUFTRAGSVERARBEITER_ADRESSE}}
Vertreten durch: {{AUFTRAGSVERARBEITER_VERTRETER}}
---
## §1 Gegenstand und Dauer
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Gegenstand der Auftragsverarbeitung ist:
{{VERTRAGSGEGENSTAND}}
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags: {{VERTRAGSDAUER}}.
---
## §2 Art und Zweck der Verarbeitung
(1) **Zweck:** {{VERARBEITUNGSZWECK}}
(2) **Art der Verarbeitung:** {{ART_DER_VERARBEITUNG}}
---
## §3 Art der personenbezogenen Daten
{{DATENKATEGORIEN}}
---
## §4 Kategorien betroffener Personen
{{BETROFFENE}}
---
## §5 Pflichten des Verantwortlichen
(1) Der Verantwortliche ist fuer die Rechtmaessigkeit der Datenverarbeitung verantwortlich.
(2) Der Verantwortliche erteilt Weisungen zur Datenverarbeitung. Weisungsberechtigt ist: {{WEISUNGSBERECHTIGTER}}.
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzueglich, wenn er Fehler oder Unregelmaessigkeiten feststellt.
(4) Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhaeltnisses erlangten Kenntnisse vertraulich zu behandeln.
---
## §6 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DS-GVO), es sei denn, er ist durch Unionsrecht oder nationales Recht hierzu verpflichtet.
(2) Der Auftragsverarbeiter gewaehrleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b).
(3) Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Massnahmen gemaess Art. 32 DS-GVO (siehe Anlage 1: TOM).
(4) Der Auftragsverarbeiter beachtet die Bedingungen fuer die Inanspruchnahme von Unterauftragsverarbeitern (§7 dieses Vertrags).
(5) Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Erfuellung der Betroffenenrechte (Art. 15-22 DS-GVO) durch geeignete technische und organisatorische Massnahmen (Art. 28 Abs. 3 lit. e).
(6) Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32-36 DS-GVO (Sicherheit, Meldepflichten, DSFA, Konsultation).
(7) Der Auftragsverarbeiter loescht oder gibt nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Auftragsverarbeitung zurueck und loescht vorhandene Kopien, es sei denn, eine Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g).
(8) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfuegung und ermoeglicht Ueberpruefungen/Audits (Art. 28 Abs. 3 lit. h).
(9) Der Auftragsverarbeiter informiert den Verantwortlichen unverzueglich, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstoesst.
(10) Der Auftragsverarbeiter benennt einen Ansprechpartner fuer den Datenschutz: {{KONTAKT_DATENSCHUTZ_AV}}.
---
## §7 Unterauftragsverarbeitung
(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen. Es wird eine allgemeine Genehmigung erteilt, wobei der Auftragsverarbeiter den Verantwortlichen ueber beabsichtigte Aenderungen mindestens 14 Tage im Voraus informiert. Der Verantwortliche kann Einspruch erheben.
(2) Aktuelle Unterauftragsverarbeiter:
{{UNTERAUFTRAGSVERARBEITER_LISTE}}
(3) Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten.
{{#IF DRITTLANDTRANSFER_DETAILS}}
---
## §8 Uebermittlung in Drittlaender
(1) Eine Uebermittlung personenbezogener Daten in Drittlaender erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44-49 DS-GVO.
(2) Details:
{{DRITTLANDTRANSFER_DETAILS}}
{{/IF}}
---
## §9 Kontrollrechte und Audits
(1) Der Verantwortliche hat das Recht, die Einhaltung der Vorschriften durch den Auftragsverarbeiter zu ueberpruefen. Dies umfasst Inspektionen vor Ort, Dokumentenpruefungen und die Einholung von Auskuenften.
(2) Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Durchfuehrung und gewaehrt Zugang zu relevanten Raeumlichkeiten und Systemen mit angemessener Vorankuendigung (in der Regel 14 Tage).
(3) Alternativ kann der Auftragsverarbeiter aktuelle Zertifizierungen (z. B. ISO 27001, SOC 2) oder Auditberichte unabhaengiger Pruefervorlegen.
---
## §10 Meldung von Datenpannen
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzueglich (in der Regel innerhalb von 24 Stunden) nach Kenntniserlangung ueber eine Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DS-GVO).
(2) Die Meldung umfasst mindestens die Art der Datenpanne, die betroffenen Kategorien und ungefaehre Anzahl der Betroffenen, die wahrscheinlichen Folgen und die ergriffenen Gegenmassnahmen.
---
## §11 Haftung
Die Haftung richtet sich nach Art. 82 DS-GVO. Der Auftragsverarbeiter haftet fuer Schaeden, die durch eine nicht den Vorgaben der DS-GVO entsprechende Verarbeitung oder durch Handeln entgegen den Weisungen des Verantwortlichen verursacht wurden.
---
## §12 Laufzeit und Kuendigung
(1) Dieser AVV tritt mit Unterzeichnung in Kraft und endet automatisch mit Beendigung des Hauptvertrags.
(2) Eine ausserordentliche Kuendigung ist bei schwerem Verstoss gegen diesen Vertrag oder datenschutzrechtliche Vorschriften moeglich.
(3) Nach Vertragsende hat der Auftragsverarbeiter alle personenbezogenen Daten gemaess §6 Abs. 7 zu loeschen oder zurueckzugeben.
---
## §13 Schlussbestimmungen
(1) Aenderungen dieses Vertrags beduerfen der Schriftform.
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit des uebrigen Vertrags unberuehrt.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
---
## Anlage 1: Technische und Organisatorische Massnahmen (TOM)
{{TOM_ANLAGE}}
---
## Unterschriften
| | Verantwortlicher | Auftragsverarbeiter |
|---|---|---|
| **Ort, Datum** | {{ORT_DATUM}} | {{ORT_DATUM}} |
| **Name** | {{VERANTWORTLICHER_VERTRETER}} | {{AUFTRAGSVERARBEITER_VERTRETER}} |
| **Unterschrift** | _________________ | _________________ |
---
*Erstellt mit BreakPilot Compliance. Lizenz: MIT.*
$template$
) ON CONFLICT DO NOTHING;

249
document-templates/migrations/005_additional_templates.sql Normal file
View File

@@ -0,0 +1,249 @@
-- Migration 005: Zusaetzliche Templates — Verpflichtungserklaerung + Art. 13/14
-- 1. Verpflichtungserklaerung (Vertraulichkeit Mitarbeitende)
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'verpflichtungserklaerung',
'Verpflichtungserklaerung auf das Datengeheimnis',
'Vorlage zur Verpflichtung von Mitarbeitenden auf die Vertraulichkeit und das Datengeheimnis gemaess DS-GVO. Fuer Onboarding-Prozesse.',
'de',
'DE',
'1.0',
'published',
'MIT',
'BreakPilot Compliance',
false,
true,
CAST('[
"{{UNTERNEHMEN_NAME}}",
"{{UNTERNEHMEN_ADRESSE}}",
"{{MITARBEITER_NAME}}",
"{{MITARBEITER_ABTEILUNG}}",
"{{DSB_NAME}}",
"{{DSB_KONTAKT}}",
"{{ORT_DATUM}}",
"{{SCHULUNGSDATUM}}"
]' AS jsonb),
$template$# Verpflichtung auf das Datengeheimnis
**gemaess Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DS-GVO**
---
## 1. Verpflichtung
Ich, **{{MITARBEITER_NAME}}**, Abteilung **{{MITARBEITER_ABTEILUNG}}**, werde hiermit auf die Vertraulichkeit im Umgang mit personenbezogenen Daten verpflichtet.
**Arbeitgeber:** {{UNTERNEHMEN_NAME}}, {{UNTERNEHMEN_ADRESSE}}
Ich verpflichte mich, personenbezogene Daten, die mir im Rahmen meiner Taetigkeit bekannt werden, nur gemaess den erteilten Weisungen zu verarbeiten. Diese Verpflichtung gilt auch nach Beendigung des Beschaeftigungsverhaeltnisses fort.
---
## 2. Pflichten im Einzelnen
Mir ist bekannt, dass ich verpflichtet bin:
- Personenbezogene Daten nur im Rahmen meiner Aufgaben und nach Weisung des Verantwortlichen zu verarbeiten.
- Die Vertraulichkeit personenbezogener Daten zu wahren und diese nicht unbefugt an Dritte weiterzugeben.
- Personenbezogene Daten vor unbefugtem Zugriff, Verlust und Missbrauch zu schuetzen.
- Den Datenschutzbeauftragten unverzueglich ueber Datenschutzvorfaelle oder -verletzungen zu informieren.
- Keine personenbezogenen Daten fuer private Zwecke zu verwenden.
- Mobile Datentraeger und Zugangsmedien sorgfaeltig aufzubewahren.
- Passwoerter nicht weiterzugeben und regelmaessig zu aendern.
---
## 3. Rechtsfolgen bei Verstoss
Ein Verstoss gegen das Datengeheimnis kann folgende Konsequenzen haben:
- **Arbeitsrechtliche Massnahmen** bis hin zur fristlosen Kuendigung
- **Schadensersatzansprueche** des Arbeitgebers oder der Betroffenen (Art. 82 DS-GVO)
- **Ordnungswidrigkeiten oder Straftaten** nach BDSG und StGB (§§ 42, 43 BDSG; §§ 201-206 StGB)
---
## 4. Datenschutzschulung
{{#IF SCHULUNGSDATUM}}
Ich habe am **{{SCHULUNGSDATUM}}** eine Datenschutzschulung erhalten und wurde ueber die wesentlichen Grundsaetze der DS-GVO unterrichtet.
{{/IF}}
{{#IF_NOT SCHULUNGSDATUM}}
Eine Datenschutzschulung wird im Rahmen des Onboarding durchgefuehrt.
{{/IF_NOT}}
---
## 5. Ansprechpartner
Bei Fragen zum Datenschutz wende ich mich an den Datenschutzbeauftragten:
**{{DSB_NAME}}** {{DSB_KONTAKT}}
---
## 6. Bestaetigung
Ich habe diese Verpflichtungserklaerung gelesen und verstanden. Ich bin mir meiner Pflichten bewusst.
| | Mitarbeitende/r | Arbeitgeber |
|---|---|---|
| **Ort, Datum** | {{ORT_DATUM}} | {{ORT_DATUM}} |
| **Name** | {{MITARBEITER_NAME}} | |
| **Unterschrift** | _________________ | _________________ |
---
*Erstellt mit BreakPilot Compliance. Lizenz: MIT.*
$template$
) ON CONFLICT DO NOTHING;
-- 2. Art. 13/14 Informationspflichten-Muster
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'informationspflichten',
'Informationspflichten gemaess Art. 13/14 DS-GVO',
'Mustertext fuer Datenschutzhinweise nach Art. 13 (Direkterhebung) und Art. 14 (Dritterhebung) DS-GVO. Mit bedingten Bloecken fuer beide Varianten.',
'de',
'EU/DSGVO',
'1.0',
'published',
'MIT',
'BreakPilot Compliance',
false,
true,
CAST('[
"{{VERANTWORTLICHER_NAME}}",
"{{VERANTWORTLICHER_ADRESSE}}",
"{{VERANTWORTLICHER_KONTAKT}}",
"{{DSB_NAME}}",
"{{DSB_KONTAKT}}",
"{{VERARBEITUNGSZWECK}}",
"{{RECHTSGRUNDLAGE}}",
"{{BERECHTIGTES_INTERESSE}}",
"{{DATENKATEGORIEN}}",
"{{DATENQUELLE}}",
"{{EMPFAENGER}}",
"{{DRITTLANDTRANSFER}}",
"{{SPEICHERDAUER}}",
"{{AUFSICHTSBEHOERDE}}",
"{{AUTOMATISIERTE_ENTSCHEIDUNG}}",
"{{PFLICHT_ODER_FREIWILLIG}}"
]' AS jsonb),
$template$# Datenschutzhinweise
**gemaess Art. 13 und Art. 14 der Datenschutz-Grundverordnung (DS-GVO)**
---
## 1. Verantwortlicher
{{VERANTWORTLICHER_NAME}}
{{VERANTWORTLICHER_ADRESSE}}
Kontakt: {{VERANTWORTLICHER_KONTAKT}}
{{#IF DSB_NAME}}
## 2. Datenschutzbeauftragter
{{DSB_NAME}}
{{DSB_KONTAKT}}
{{/IF}}
---
## 3. Zweck und Rechtsgrundlage der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:
{{VERARBEITUNGSZWECK}}
**Rechtsgrundlage:** {{RECHTSGRUNDLAGE}}
{{#IF BERECHTIGTES_INTERESSE}}
**Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DS-GVO):** {{BERECHTIGTES_INTERESSE}}
{{/IF}}
---
## 4. Kategorien personenbezogener Daten
{{DATENKATEGORIEN}}
{{#IF DATENQUELLE}}
## 5. Herkunft der Daten (Art. 14 DS-GVO)
Die Daten wurden nicht bei Ihnen direkt erhoben, sondern stammen aus folgender Quelle:
{{DATENQUELLE}}
{{/IF}}
---
## 6. Empfaenger und Uebermittlung
Ihre Daten werden an folgende Empfaenger bzw. Kategorien von Empfaengern uebermittelt:
{{EMPFAENGER}}
{{#IF DRITTLANDTRANSFER}}
### Uebermittlung in Drittlaender
{{DRITTLANDTRANSFER}}
{{/IF}}
---
## 7. Speicherdauer
{{SPEICHERDAUER}}
---
## 8. Ihre Rechte
Sie haben gegenueber dem Verantwortlichen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- **Auskunftsrecht** (Art. 15 DS-GVO): Sie koennen Auskunft ueber die gespeicherten Daten verlangen.
- **Berichtigungsrecht** (Art. 16 DS-GVO): Sie koennen die Berichtigung unrichtiger Daten verlangen.
- **Loeschungsrecht** (Art. 17 DS-GVO): Sie koennen die Loeschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflicht besteht.
- **Einschraenkung** (Art. 18 DS-GVO): Sie koennen die Einschraenkung der Verarbeitung verlangen.
- **Datenuebert ragbarkeit** (Art. 20 DS-GVO): Sie koennen Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.
- **Widerspruchsrecht** (Art. 21 DS-GVO): Sie koennen der Verarbeitung widersprechen, insbesondere bei Direktwerbung.
{{#IF RECHTSGRUNDLAGE}}
- **Widerrufsrecht** (Art. 7 Abs. 3 DS-GVO): Sofern die Verarbeitung auf Einwilligung beruht, koennen Sie diese jederzeit widerrufen, ohne dass die Rechtmaessigkeit der bis dahin erfolgten Verarbeitung beruehrt wird.
{{/IF}}
---
## 9. Beschwerderecht
Sie haben das Recht, sich bei einer Aufsichtsbehoerde zu beschweren:
{{AUFSICHTSBEHOERDE}}
---
{{#IF AUTOMATISIERTE_ENTSCHEIDUNG}}
## 10. Automatisierte Entscheidungsfindung (Art. 22 DS-GVO)
{{AUTOMATISIERTE_ENTSCHEIDUNG}}
{{/IF}}
{{#IF PFLICHT_ODER_FREIWILLIG}}
## 11. Bereitstellung der Daten
{{PFLICHT_ODER_FREIWILLIG}}
{{/IF}}
---
*Stand: Siehe Versionsdatum des Dokuments. Erstellt mit BreakPilot Compliance. Lizenz: MIT.*
$template$
) ON CONFLICT DO NOTHING;