breakpilot-lehrer/website/components/admin/system-info-configs/dsms-config.ts

import type { SystemInfoConfig } from './types'

export const dsmsConfig: SystemInfoConfig = {
  title: 'DSMS System-Info',
  description: 'Datenschutz-Management-System fuer DSGVO-Compliance.',
  version: '1.0',
  privacyNotes: [
    'Zentrale Verwaltung aller Datenschutz-Prozesse',
    'Verzeichnis der Verarbeitungstaetigkeiten (VVT)',
    'TOM-Dokumentation',
    'Datenschutz-Folgenabschaetzung (DSFA)',
  ],
  architecture: {
    layers: [
      { title: 'DSMS Dashboard', components: ['VVT Editor', 'TOM Manager', 'DSFA Tool'], color: '#3b82f6' },
      { title: 'Compliance Engine', components: ['Risk Assessment', 'Gap Analysis', 'Audit Trail'], color: '#8b5cf6' },
      { title: 'Document Management', components: ['Policies', 'Procedures', 'Records'], color: '#10b981' },
      { title: 'Reporting', components: ['Compliance Reports', 'DPA Dashboard', 'Exports'], color: '#f59e0b' },
    ],
  },
  features: [
    { name: 'VVT-Verwaltung', status: 'active', description: 'Verzeichnis der Verarbeitungstaetigkeiten' },
    { name: 'TOM-Dokumentation', status: 'active', description: 'Technische und organisatorische Massnahmen' },
    { name: 'DSFA-Tool', status: 'planned', description: 'Datenschutz-Folgenabschaetzung' },
    { name: 'Audit-Management', status: 'planned', description: 'Interne und externe Audits' },
  ],
  roadmap: [
    { phase: 'Phase 1: Dokumentation (Q1)', priority: 'high', items: ['VVT-Erstellung', 'TOM-Katalog', 'Policy-Templates', 'Rollenkonzept'] },
    { phase: 'Phase 2: Compliance (Q2)', priority: 'high', items: ['Gap-Analyse', 'Risk-Scoring', 'Massnahmen-Tracking', 'Deadline-Management'] },
    { phase: 'Phase 3: Automation (Q3)', priority: 'medium', items: ['Auto-Assessments', 'Compliance-Monitoring', 'Alert-System', 'Report-Generator'] },
  ],
  technicalDetails: [
    { component: 'Framework', technology: 'DSGVO/GDPR', description: 'EU-Verordnung' },
    { component: 'Standards', technology: 'ISO 27701', description: 'Privacy Management' },
    { component: 'Storage', technology: 'PostgreSQL', description: 'Verschluesselt' },
    { component: 'Export', technology: 'PDF/Excel', description: 'Audit-Reports' },
  ],
  auditInfo: [
    {
      category: 'DSGVO-Dokumentation',
      items: [
        { label: 'VVT vorhanden', value: 'Ja', status: 'ok' },
        { label: 'TOM dokumentiert', value: 'Ja', status: 'ok' },
        { label: 'DSFA durchgefuehrt', value: 'Geplant', status: 'warning' },
        { label: 'Auftragsverarbeitung', value: 'Dokumentiert', status: 'ok' },
      ],
    },
    {
      category: 'Organisatorisch',
      items: [
        { label: 'DSB benannt', value: 'Ja', status: 'ok' },
        { label: 'Schulungen', value: 'Jaehrlich', status: 'ok' },
        { label: 'Incident Response', value: 'Definiert', status: 'ok' },
        { label: 'Policies aktuell', value: 'Review faellig', status: 'warning' },
      ],
    },
    {
      category: 'Technisch',
      items: [
        { label: 'Verschluesselung', value: 'AES-256', status: 'ok' },
        { label: 'Zugriffskontrolle', value: 'RBAC', status: 'ok' },
        { label: 'Logging', value: 'Aktiviert', status: 'ok' },
        { label: 'Backup', value: 'Taeglich', status: 'ok' },
      ],
    },
  ],
  fullDocumentation: `
<h2>Datenschutz-Management-System (DSMS)</h2>

<h3>1. Uebersicht</h3>
<p>Das DSMS bildet alle datenschutzrelevanten Prozesse und Dokumentationen ab. Es dient der Nachweispflicht gemaess DSGVO Art. 5 Abs. 2 (Rechenschaftspflicht).</p>

<h3>2. Kernkomponenten</h3>
<pre>
DSMS
├── Verzeichnis der Verarbeitungstaetigkeiten (VVT)
│   └── Art. 30 DSGVO
├── Technisch-Organisatorische Massnahmen (TOM)
│   └── Art. 32 DSGVO
├── Datenschutz-Folgenabschaetzung (DSFA)
│   └── Art. 35 DSGVO
├── Auftragsverarbeitung (AVV)
│   └── Art. 28 DSGVO
└── Policies & Schulungen
    └── Interne Richtlinien
</pre>

<h3>3. VVT-Struktur</h3>
<table>
  <tr><th>Feld</th><th>Beschreibung</th><th>Beispiel</th></tr>
  <tr><td>Bezeichnung</td><td>Name der Verarbeitung</td><td>Nutzerregistrierung</td></tr>
  <tr><td>Zweck</td><td>Verarbeitungszweck</td><td>Vertragserfuellung</td></tr>
  <tr><td>Rechtsgrundlage</td><td>Art. 6 DSGVO</td><td>Art. 6 Abs. 1 lit. b</td></tr>
  <tr><td>Kategorien Betroffener</td><td>Personengruppen</td><td>Schueler, Lehrer</td></tr>
  <tr><td>Datenkategorien</td><td>Art der Daten</td><td>Stammdaten, E-Mail</td></tr>
  <tr><td>Empfaenger</td><td>Datenempfaenger</td><td>Intern, Auftragsverarbeiter</td></tr>
  <tr><td>Drittlandtransfer</td><td>Uebermittlung</td><td>Nein / Mit SCC</td></tr>
  <tr><td>Loeschfrist</td><td>Aufbewahrung</td><td>Nach Vertragsende</td></tr>
</table>

<h3>4. TOM-Katalog</h3>
<pre>
Technisch-Organisatorische Massnahmen:

Vertraulichkeit (Art. 32 Abs. 1 lit. b):
├── Zutrittskontrolle: Rechenzentrum gesichert
├── Zugangskontrolle: SSH-Keys, MFA
├── Zugriffskontrolle: RBAC, Least Privilege
└── Weitergabekontrolle: TLS 1.3, Verschluesselung

Integritaet (Art. 32 Abs. 1 lit. b):
├── Eingabekontrolle: Audit-Logs
├── Trennungskontrolle: Multi-Tenant Isolation
└── Uebertragungskontrolle: API Authentication

Verfuegbarkeit (Art. 32 Abs. 1 lit. b):
├── Backup: Taeglich, 30 Tage Retention
├── Redundanz: Multi-AZ Deployment
└── Notfallplan: Dokumentiert
</pre>

<h3>5. DSFA-Prozess</h3>
<table>
  <tr><th>Schritt</th><th>Beschreibung</th><th>Verantwortlich</th></tr>
  <tr><td>1. Schwellwert-Analyse</td><td>DSFA erforderlich?</td><td>DSB</td></tr>
  <tr><td>2. Beschreibung</td><td>Verarbeitung dokumentieren</td><td>Fachbereich</td></tr>
  <tr><td>3. Risikobewertung</td><td>Eintrittswahrscheinlichkeit x Schaden</td><td>DSB + IT</td></tr>
  <tr><td>4. Massnahmen</td><td>Risikominimierung</td><td>IT</td></tr>
  <tr><td>5. Restrisiko</td><td>Bewertung, ggf. Konsultation</td><td>DSB</td></tr>
  <tr><td>6. Dokumentation</td><td>DSFA-Report</td><td>DSB</td></tr>
</table>

<h3>6. Auftragsverarbeitung</h3>
<pre>
Auftragsverarbeiter-Uebersicht:

┌────────────────────────────────────────────────────┐
│ Anbieter        │ Zweck          │ Standort │ AVV │
├────────────────────────────────────────────────────┤
│ Hetzner         │ Hosting        │ DE       │ ✓   │
│ vast.ai         │ GPU Computing  │ US/EU    │ ✓   │
│ OpenAI          │ LLM API        │ US       │ SCC │
│ Anthropic       │ LLM API        │ US       │ SCC │
└────────────────────────────────────────────────────┘
</pre>

<h3>7. Schulungen</h3>
<ul>
  <li><strong>Onboarding:</strong> Datenschutz-Grundlagen (Pflicht)</li>
  <li><strong>Jaehrlich:</strong> Auffrischung + aktuelle Themen</li>
  <li><strong>Spezial:</strong> IT-Sicherheit fuer Entwickler</li>
  <li><strong>Nachweis:</strong> Dokumentierte Teilnahme</li>
</ul>

<h3>8. Incident Response</h3>
<pre>
Datenpanne erkannt
       │
       v
┌──────────────────────────────────────┐
│ 1. Sofortmassnahmen (Containment)   │
│    - Zugriff sperren                 │
│    - Beweis sichern                  │
└─────────────────┬────────────────────┘
                  │
                  v
┌──────────────────────────────────────┐
│ 2. Bewertung (24h)                   │
│    - Schwere einschaetzen            │
│    - Betroffene identifizieren       │
└─────────────────┬────────────────────┘
                  │
                  v
┌──────────────────────────────────────┐
│ 3. Meldung (72h)                     │
│    - Aufsichtsbehoerde (Art. 33)     │
│    - Betroffene (Art. 34)            │
└─────────────────┬────────────────────┘
                  │
                  v
┌──────────────────────────────────────┐
│ 4. Nachbereitung                     │
│    - Root Cause Analysis             │
│    - Massnahmen umsetzen             │
│    - Dokumentation                   │
└──────────────────────────────────────┘
</pre>

<h3>9. Compliance-Dashboard</h3>
<table>
  <tr><th>Bereich</th><th>Status</th><th>Naechste Pruefung</th></tr>
  <tr><td>VVT</td><td>✓ Aktuell</td><td>Quartalsweise</td></tr>
  <tr><td>TOM</td><td>✓ Aktuell</td><td>Jaehrlich</td></tr>
  <tr><td>AVV</td><td>✓ Aktuell</td><td>Bei Aenderung</td></tr>
  <tr><td>Schulungen</td><td>✓ Durchgefuehrt</td><td>Jaehrlich</td></tr>
  <tr><td>DSFA</td><td>⚠ Offen</td><td>Bei neuer Verarbeitung</td></tr>
</table>

<h3>10. Export & Reporting</h3>
<ul>
  <li><strong>VVT-Export:</strong> PDF, Excel</li>
  <li><strong>TOM-Nachweis:</strong> PDF mit Unterschrift</li>
  <li><strong>DSFA-Report:</strong> PDF</li>
  <li><strong>Audit-Report:</strong> Compliance-Status</li>
</ul>
`,
}