import type { SystemInfoConfig } from './types' export const dsmsConfig: SystemInfoConfig = { title: 'DSMS System-Info', description: 'Datenschutz-Management-System fuer DSGVO-Compliance.', version: '1.0', privacyNotes: [ 'Zentrale Verwaltung aller Datenschutz-Prozesse', 'Verzeichnis der Verarbeitungstaetigkeiten (VVT)', 'TOM-Dokumentation', 'Datenschutz-Folgenabschaetzung (DSFA)', ], architecture: { layers: [ { title: 'DSMS Dashboard', components: ['VVT Editor', 'TOM Manager', 'DSFA Tool'], color: '#3b82f6' }, { title: 'Compliance Engine', components: ['Risk Assessment', 'Gap Analysis', 'Audit Trail'], color: '#8b5cf6' }, { title: 'Document Management', components: ['Policies', 'Procedures', 'Records'], color: '#10b981' }, { title: 'Reporting', components: ['Compliance Reports', 'DPA Dashboard', 'Exports'], color: '#f59e0b' }, ], }, features: [ { name: 'VVT-Verwaltung', status: 'active', description: 'Verzeichnis der Verarbeitungstaetigkeiten' }, { name: 'TOM-Dokumentation', status: 'active', description: 'Technische und organisatorische Massnahmen' }, { name: 'DSFA-Tool', status: 'planned', description: 'Datenschutz-Folgenabschaetzung' }, { name: 'Audit-Management', status: 'planned', description: 'Interne und externe Audits' }, ], roadmap: [ { phase: 'Phase 1: Dokumentation (Q1)', priority: 'high', items: ['VVT-Erstellung', 'TOM-Katalog', 'Policy-Templates', 'Rollenkonzept'] }, { phase: 'Phase 2: Compliance (Q2)', priority: 'high', items: ['Gap-Analyse', 'Risk-Scoring', 'Massnahmen-Tracking', 'Deadline-Management'] }, { phase: 'Phase 3: Automation (Q3)', priority: 'medium', items: ['Auto-Assessments', 'Compliance-Monitoring', 'Alert-System', 'Report-Generator'] }, ], technicalDetails: [ { component: 'Framework', technology: 'DSGVO/GDPR', description: 'EU-Verordnung' }, { component: 'Standards', technology: 'ISO 27701', description: 'Privacy Management' }, { component: 'Storage', technology: 'PostgreSQL', description: 'Verschluesselt' }, { component: 'Export', technology: 'PDF/Excel', description: 'Audit-Reports' }, ], auditInfo: [ { category: 'DSGVO-Dokumentation', items: [ { label: 'VVT vorhanden', value: 'Ja', status: 'ok' }, { label: 'TOM dokumentiert', value: 'Ja', status: 'ok' }, { label: 'DSFA durchgefuehrt', value: 'Geplant', status: 'warning' }, { label: 'Auftragsverarbeitung', value: 'Dokumentiert', status: 'ok' }, ], }, { category: 'Organisatorisch', items: [ { label: 'DSB benannt', value: 'Ja', status: 'ok' }, { label: 'Schulungen', value: 'Jaehrlich', status: 'ok' }, { label: 'Incident Response', value: 'Definiert', status: 'ok' }, { label: 'Policies aktuell', value: 'Review faellig', status: 'warning' }, ], }, { category: 'Technisch', items: [ { label: 'Verschluesselung', value: 'AES-256', status: 'ok' }, { label: 'Zugriffskontrolle', value: 'RBAC', status: 'ok' }, { label: 'Logging', value: 'Aktiviert', status: 'ok' }, { label: 'Backup', value: 'Taeglich', status: 'ok' }, ], }, ], fullDocumentation: `

Datenschutz-Management-System (DSMS)

1. Uebersicht

Das DSMS bildet alle datenschutzrelevanten Prozesse und Dokumentationen ab. Es dient der Nachweispflicht gemaess DSGVO Art. 5 Abs. 2 (Rechenschaftspflicht).

2. Kernkomponenten

DSMS
├── Verzeichnis der Verarbeitungstaetigkeiten (VVT)
│   └── Art. 30 DSGVO
├── Technisch-Organisatorische Massnahmen (TOM)
│   └── Art. 32 DSGVO
├── Datenschutz-Folgenabschaetzung (DSFA)
│   └── Art. 35 DSGVO
├── Auftragsverarbeitung (AVV)
│   └── Art. 28 DSGVO
└── Policies & Schulungen
    └── Interne Richtlinien

3. VVT-Struktur

Feld	Beschreibung	Beispiel
Bezeichnung	Name der Verarbeitung	Nutzerregistrierung
Zweck	Verarbeitungszweck	Vertragserfuellung
Rechtsgrundlage	Art. 6 DSGVO	Art. 6 Abs. 1 lit. b
Kategorien Betroffener	Personengruppen	Schueler, Lehrer
Datenkategorien	Art der Daten	Stammdaten, E-Mail
Empfaenger	Datenempfaenger	Intern, Auftragsverarbeiter
Drittlandtransfer	Uebermittlung	Nein / Mit SCC
Loeschfrist	Aufbewahrung	Nach Vertragsende

4. TOM-Katalog

Technisch-Organisatorische Massnahmen:

Vertraulichkeit (Art. 32 Abs. 1 lit. b):
├── Zutrittskontrolle: Rechenzentrum gesichert
├── Zugangskontrolle: SSH-Keys, MFA
├── Zugriffskontrolle: RBAC, Least Privilege
└── Weitergabekontrolle: TLS 1.3, Verschluesselung

Integritaet (Art. 32 Abs. 1 lit. b):
├── Eingabekontrolle: Audit-Logs
├── Trennungskontrolle: Multi-Tenant Isolation
└── Uebertragungskontrolle: API Authentication

Verfuegbarkeit (Art. 32 Abs. 1 lit. b):
├── Backup: Taeglich, 30 Tage Retention
├── Redundanz: Multi-AZ Deployment
└── Notfallplan: Dokumentiert

5. DSFA-Prozess

Schritt	Beschreibung	Verantwortlich
1. Schwellwert-Analyse	DSFA erforderlich?	DSB
2. Beschreibung	Verarbeitung dokumentieren	Fachbereich
3. Risikobewertung	Eintrittswahrscheinlichkeit x Schaden	DSB + IT
4. Massnahmen	Risikominimierung	IT
5. Restrisiko	Bewertung, ggf. Konsultation	DSB
6. Dokumentation	DSFA-Report	DSB

6. Auftragsverarbeitung

Auftragsverarbeiter-Uebersicht:

┌────────────────────────────────────────────────────┐
│ Anbieter        │ Zweck          │ Standort │ AVV │
├────────────────────────────────────────────────────┤
│ Hetzner         │ Hosting        │ DE       │ ✓   │
│ vast.ai         │ GPU Computing  │ US/EU    │ ✓   │
│ OpenAI          │ LLM API        │ US       │ SCC │
│ Anthropic       │ LLM API        │ US       │ SCC │
└────────────────────────────────────────────────────┘

7. Schulungen

Onboarding: Datenschutz-Grundlagen (Pflicht)
Jaehrlich: Auffrischung + aktuelle Themen
Spezial: IT-Sicherheit fuer Entwickler
Nachweis: Dokumentierte Teilnahme

8. Incident Response

Datenpanne erkannt
       │
       v
┌──────────────────────────────────────┐
│ 1. Sofortmassnahmen (Containment)   │
│    - Zugriff sperren                 │
│    - Beweis sichern                  │
└─────────────────┬────────────────────┘
                  │
                  v
┌──────────────────────────────────────┐
│ 2. Bewertung (24h)                   │
│    - Schwere einschaetzen            │
│    - Betroffene identifizieren       │
└─────────────────┬────────────────────┘
                  │
                  v
┌──────────────────────────────────────┐
│ 3. Meldung (72h)                     │
│    - Aufsichtsbehoerde (Art. 33)     │
│    - Betroffene (Art. 34)            │
└─────────────────┬────────────────────┘
                  │
                  v
┌──────────────────────────────────────┐
│ 4. Nachbereitung                     │
│    - Root Cause Analysis             │
│    - Massnahmen umsetzen             │
│    - Dokumentation                   │
└──────────────────────────────────────┘

9. Compliance-Dashboard

Bereich	Status	Naechste Pruefung
VVT	✓ Aktuell	Quartalsweise
TOM	✓ Aktuell	Jaehrlich
AVV	✓ Aktuell	Bei Aenderung
Schulungen	✓ Durchgefuehrt	Jaehrlich
DSFA	⚠ Offen	Bei neuer Verarbeitung

10. Export & Reporting

VVT-Export: PDF, Excel
TOM-Nachweis: PDF mit Unterschrift
DSFA-Report: PDF
Audit-Report: Compliance-Status

`, }