Benjamin_Boenisch/breakpilot-core
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
fc71117bf2daea2a18887183bd171ca03b6ca862
breakpilot-core/document-templates/migrations/004_avv_template.sql
Benjamin Admin fc71117bf2 feat: Document Templates V2 — DSFA, TOM, VVT, AVV, Verpflichtung, Art.13/14 
Erweiterte Compliance-Vorlagen fuer den Document Generator:
- DSFA V2: Schwellwertanalyse (9 WP248-Kriterien), SDM-basierte TOM,
  strukturierte Risikobewertung, KI-Modul (AI Act), Art.36-Pruefung
- TOM V2: 7 SDM-Gewaehrleistungsziele, Sektor-Erweiterungen,
  NIS2/ISO27001/AI Act Varianten
- VVT V2: 6 Branchen-Muster (IT/SaaS, Gesundheit, Handel, Handwerk,
  Bildung, Beratung) + allgemeine Art.30-Vorlage
- AVV V2: Vollstaendiger Art.28-Vertrag mit TOM-Anlage
- Verpflichtungserklaerung: Mitarbeiter-Vertraulichkeit
- Art.13/14 Informationspflichten-Muster

Enthalt SQL-Migrations (compliance_legal_templates), Python-Generatoren
und Qdrant-Cleanup-Skript. Feature-Branch fuer spaetere Integration
in breakpilot-compliance.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-04-10 11:39:39 +02:00

213 lines
8.0 KiB
SQL
Raw Blame History

-- Migration 004: AVV Template — Auftragsverarbeitungsvertrag (Art. 28 DS-GVO)
-- Deutsche AVV-Vorlage mit allen Pflichtinhalten.
INSERT INTO compliance.compliance_legal_templates (
tenant_id, document_type, title, description, language, jurisdiction,
version, status, license_name, source_name, attribution_required,
is_complete_document, placeholders, content
) VALUES (
'9282a473-5c95-4b3a-bf78-0ecc0ec71d3e'::uuid,
'dpa',
'Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DS-GVO',
'Vollstaendiger Auftragsverarbeitungsvertrag mit allen Pflichtinhalten nach Art. 28 Abs. 3 DS-GVO. Inkl. TOM-Anlage und Drittlandtransfer-Klausel.',
'de',
'EU/DSGVO',
'2.0',
'published',
'MIT',
'BreakPilot Compliance',
false,
true,
CAST('[
"{{VERANTWORTLICHER_NAME}}",
"{{VERANTWORTLICHER_ADRESSE}}",
"{{VERANTWORTLICHER_VERTRETER}}",
"{{AUFTRAGSVERARBEITER_NAME}}",
"{{AUFTRAGSVERARBEITER_ADRESSE}}",
"{{AUFTRAGSVERARBEITER_VERTRETER}}",
"{{VERTRAGSGEGENSTAND}}",
"{{VERTRAGSDAUER}}",
"{{VERARBEITUNGSZWECK}}",
"{{ART_DER_VERARBEITUNG}}",
"{{DATENKATEGORIEN}}",
"{{BETROFFENE}}",
"{{UNTERAUFTRAGSVERARBEITER_LISTE}}",
"{{TOM_ANLAGE}}",
"{{DRITTLANDTRANSFER_DETAILS}}",
"{{ORT_DATUM}}",
"{{WEISUNGSBERECHTIGTER}}",
"{{KONTAKT_DATENSCHUTZ_AV}}"
]' AS jsonb),
$template$# Auftragsverarbeitungsvertrag (AVV)
**gemaess Art. 28 Abs. 3 DS-GVO**
---
## Vertragsparteien
**Verantwortlicher (Auftraggeber):**
{{VERANTWORTLICHER_NAME}}
{{VERANTWORTLICHER_ADRESSE}}
Vertreten durch: {{VERANTWORTLICHER_VERTRETER}}
**Auftragsverarbeiter (Auftragnehmer):**
{{AUFTRAGSVERARBEITER_NAME}}
{{AUFTRAGSVERARBEITER_ADRESSE}}
Vertreten durch: {{AUFTRAGSVERARBEITER_VERTRETER}}
---
## §1 Gegenstand und Dauer
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Gegenstand der Auftragsverarbeitung ist:
{{VERTRAGSGEGENSTAND}}
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags: {{VERTRAGSDAUER}}.
---
## §2 Art und Zweck der Verarbeitung
(1) **Zweck:** {{VERARBEITUNGSZWECK}}
(2) **Art der Verarbeitung:** {{ART_DER_VERARBEITUNG}}
---
## §3 Art der personenbezogenen Daten
{{DATENKATEGORIEN}}
---
## §4 Kategorien betroffener Personen
{{BETROFFENE}}
---
## §5 Pflichten des Verantwortlichen
(1) Der Verantwortliche ist fuer die Rechtmaessigkeit der Datenverarbeitung verantwortlich.
(2) Der Verantwortliche erteilt Weisungen zur Datenverarbeitung. Weisungsberechtigt ist: {{WEISUNGSBERECHTIGTER}}.
(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzueglich, wenn er Fehler oder Unregelmaessigkeiten feststellt.
(4) Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhaeltnisses erlangten Kenntnisse vertraulich zu behandeln.
---
## §6 Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschliesslich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DS-GVO), es sei denn, er ist durch Unionsrecht oder nationales Recht hierzu verpflichtet.
(2) Der Auftragsverarbeiter gewaehrleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b).
(3) Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Massnahmen gemaess Art. 32 DS-GVO (siehe Anlage 1: TOM).
(4) Der Auftragsverarbeiter beachtet die Bedingungen fuer die Inanspruchnahme von Unterauftragsverarbeitern (§7 dieses Vertrags).
(5) Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Erfuellung der Betroffenenrechte (Art. 15-22 DS-GVO) durch geeignete technische und organisatorische Massnahmen (Art. 28 Abs. 3 lit. e).
(6) Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32-36 DS-GVO (Sicherheit, Meldepflichten, DSFA, Konsultation).
(7) Der Auftragsverarbeiter loescht oder gibt nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Auftragsverarbeitung zurueck und loescht vorhandene Kopien, es sei denn, eine Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g).
(8) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfuegung und ermoeglicht Ueberpruefungen/Audits (Art. 28 Abs. 3 lit. h).
(9) Der Auftragsverarbeiter informiert den Verantwortlichen unverzueglich, wenn eine Weisung nach seiner Auffassung gegen datenschutzrechtliche Vorschriften verstoesst.
(10) Der Auftragsverarbeiter benennt einen Ansprechpartner fuer den Datenschutz: {{KONTAKT_DATENSCHUTZ_AV}}.
---
## §7 Unterauftragsverarbeitung
(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einsetzen. Es wird eine allgemeine Genehmigung erteilt, wobei der Auftragsverarbeiter den Verantwortlichen ueber beabsichtigte Aenderungen mindestens 14 Tage im Voraus informiert. Der Verantwortliche kann Einspruch erheben.
(2) Aktuelle Unterauftragsverarbeiter:
{{UNTERAUFTRAGSVERARBEITER_LISTE}}
(3) Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten.
{{#IF DRITTLANDTRANSFER_DETAILS}}
---
## §8 Uebermittlung in Drittlaender
(1) Eine Uebermittlung personenbezogener Daten in Drittlaender erfolgt nur unter Einhaltung der Voraussetzungen der Art. 44-49 DS-GVO.
(2) Details:
{{DRITTLANDTRANSFER_DETAILS}}
{{/IF}}
---
## §9 Kontrollrechte und Audits
(1) Der Verantwortliche hat das Recht, die Einhaltung der Vorschriften durch den Auftragsverarbeiter zu ueberpruefen. Dies umfasst Inspektionen vor Ort, Dokumentenpruefungen und die Einholung von Auskuenften.
(2) Der Auftragsverarbeiter unterstuetzt den Verantwortlichen bei der Durchfuehrung und gewaehrt Zugang zu relevanten Raeumlichkeiten und Systemen mit angemessener Vorankuendigung (in der Regel 14 Tage).
(3) Alternativ kann der Auftragsverarbeiter aktuelle Zertifizierungen (z. B. ISO 27001, SOC 2) oder Auditberichte unabhaengiger Pruefervorlegen.
---
## §10 Meldung von Datenpannen
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzueglich (in der Regel innerhalb von 24 Stunden) nach Kenntniserlangung ueber eine Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DS-GVO).
(2) Die Meldung umfasst mindestens die Art der Datenpanne, die betroffenen Kategorien und ungefaehre Anzahl der Betroffenen, die wahrscheinlichen Folgen und die ergriffenen Gegenmassnahmen.
---
## §11 Haftung
Die Haftung richtet sich nach Art. 82 DS-GVO. Der Auftragsverarbeiter haftet fuer Schaeden, die durch eine nicht den Vorgaben der DS-GVO entsprechende Verarbeitung oder durch Handeln entgegen den Weisungen des Verantwortlichen verursacht wurden.
---
## §12 Laufzeit und Kuendigung
(1) Dieser AVV tritt mit Unterzeichnung in Kraft und endet automatisch mit Beendigung des Hauptvertrags.
(2) Eine ausserordentliche Kuendigung ist bei schwerem Verstoss gegen diesen Vertrag oder datenschutzrechtliche Vorschriften moeglich.
(3) Nach Vertragsende hat der Auftragsverarbeiter alle personenbezogenen Daten gemaess §6 Abs. 7 zu loeschen oder zurueckzugeben.
---
## §13 Schlussbestimmungen
(1) Aenderungen dieses Vertrags beduerfen der Schriftform.
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit des uebrigen Vertrags unberuehrt.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
---
## Anlage 1: Technische und Organisatorische Massnahmen (TOM)
{{TOM_ANLAGE}}
---
## Unterschriften
| | Verantwortlicher | Auftragsverarbeiter |
|---|---|---|
| **Ort, Datum** | {{ORT_DATUM}} | {{ORT_DATUM}} |
| **Name** | {{VERANTWORTLICHER_VERTRETER}} | {{AUFTRAGSVERARBEITER_VERTRETER}} |
| **Unterschrift** | _________________ | _________________ |
---
*Erstellt mit BreakPilot Compliance. Lizenz: MIT.*
$template$
) ON CONFLICT DO NOTHING;
Reference in New Issue View Git Blame Copy Permalink