Benjamin_Boenisch/breakpilot-pwa
Archived
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
This repository has been archived on 2026-02-15. You can view files and clone it. You cannot open issues or pull requests or push a commit.
Files
038fc2f74902695469c25dbf6a478f23f3c503be
breakpilot-pwa/ai-compliance-sdk/policies/eprivacy_corpus.yaml
Benjamin Admin 21a844cb8a fix: Restore all files lost during destructive rebase 
A previous `git pull --rebase origin main` dropped 177 local commits,
losing 3400+ files across admin-v2, backend, studio-v2, website,
klausur-service, and many other services. The partial restore attempt
(660295e2) only recovered some files.

This commit restores all missing files from pre-rebase ref 98933f5e
while preserving post-rebase additions (night-scheduler, night-mode UI,
NightModeWidget dashboard integration).

Restored features include:
- AI Module Sidebar (FAB), OCR Labeling, OCR Compare
- GPU Dashboard, RAG Pipeline, Magic Help
- Klausur-Korrektur (8 files), Abitur-Archiv (5+ files)
- Companion, Zeugnisse-Crawler, Screen Flow
- Full backend, studio-v2, website, klausur-service
- All compliance SDKs, agent-core, voice-service
- CI/CD configs, documentation, scripts

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-02-09 09:51:32 +01:00

802 lines
27 KiB
YAML
Raw Blame History

# =============================================================================
# ePrivacy Corpus - Richtlinie 2002/58/EG
# Fuer Legal RAG Integration
# Version: 1.0
# Stand: Januar 2026
# =============================================================================
version: "1.0"
jurisdiction: EU
last_updated: "2026-01-29"
description: "Rechtliche Informationen zur ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ueber die Verarbeitung personenbezogener Daten und den Schutz der Privatsphaere in der elektronischen Kommunikation"
# =============================================================================
# GRUNDLAGEN
# =============================================================================
fundamentals:
eprivacy_definition:
id: EPRIV-DEF-001
topic: "Was ist die ePrivacy-Richtlinie?"
content: |
Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ist eine EU-Richtlinie, die
spezifische Datenschutzregeln fuer den Bereich der elektronischen Kommunikation
festlegt. Sie ergaenzt die DSGVO als "lex specialis" fuer diesen Bereich.
Offizieller Titel: "Richtlinie 2002/58/EG des Europaeischen Parlaments und
des Rates vom 12. Juli 2002 ueber die Verarbeitung personenbezogener Daten
und den Schutz der Privatsphaere in der elektronischen Kommunikation"
Die Richtlinie wurde mehrfach geaendert:
- 2006 durch Richtlinie 2006/24/EG (Vorratsdatenspeicherung, spaeter aufgehoben)
- 2009 durch Richtlinie 2009/136/EG ("Cookie-Richtlinie")
WICHTIG: Die ePrivacy-Verordnung (ePVO) soll die Richtlinie ersetzen,
ist aber Stand 2026 noch nicht in Kraft getreten.
legal_refs:
- "Richtlinie 2002/58/EG"
- "Richtlinie 2009/136/EG"
- "DSGVO Art. 95 (Verhaeltnis zu ePrivacy)"
keywords: ["ePrivacy", "E-Privacy", "2002/58/EG", "Cookie-Richtlinie"]
scope_of_application:
id: EPRIV-DEF-002
topic: "Anwendungsbereich der ePrivacy-Richtlinie"
content: |
Die ePrivacy-Richtlinie gilt fuer:
1. ANBIETER OEFFENTLICHER KOMMUNIKATIONSDIENSTE
- Telekommunikationsunternehmen
- Internet Service Provider
- E-Mail-Dienste
- Messenger-Dienste (umstritten)
2. BETREIBER VON WEBSITES UND APPS
- Cookies und aehnliche Technologien
- Online-Tracking
- Direktwerbung per E-Mail
3. JEDE VERARBEITUNG VON
- Verkehrsdaten
- Standortdaten
- Kommunikationsinhalten
NICHT anwendbar auf:
- Rein unternehmensinterne Kommunikationssysteme
- Nationale Sicherheit und Strafverfolgung (Ausnahmen)
legal_refs:
- "Art. 3 Richtlinie 2002/58/EG"
keywords: ["Anwendungsbereich", "Telekommunikation", "ISP"]
relationship_gdpr:
id: EPRIV-DEF-003
topic: "Verhaeltnis zur DSGVO"
content: |
Die ePrivacy-Richtlinie steht in einem besonderen Verhaeltnis zur DSGVO:
GRUNDSATZ (Art. 95 DSGVO):
Die DSGVO erlegt Anbietern oeffentlicher Kommunikationsdienste keine
zusaetzlichen Pflichten auf, soweit die ePrivacy-Richtlinie dieselbe
Zielsetzung verfolgt.
PRAKTISCHE BEDEUTUNG:
1. ePrivacy als "lex specialis"
- Fuer elektronische Kommunikation gelten primaer ePrivacy-Regeln
- DSGVO gilt ergaenzend, wo ePrivacy keine Regelung trifft
2. Cookie-Consent
- Art. 5 Abs. 3 ePrivacy regelt Cookies VORRANGIG
- DSGVO-Einwilligung gilt ZUSAETZLICH fuer personenbezogene Daten
3. Sanktionen
- DSGVO-Bussgelder (bis 20 Mio. / 4% Umsatz) gelten NICHT direkt
- Nationale Umsetzungsgesetze haben eigene Sanktionen
WICHTIG: Bei Cookies ist BEIDES erforderlich:
- ePrivacy-Einwilligung (fuer Zugriff auf Geraet)
- DSGVO-Rechtsgrundlage (fuer Verarbeitung personenbezogener Daten)
legal_refs:
- "DSGVO Art. 95"
- "ErwGr. 173 DSGVO"
- "EuGH Planet49 (C-673/17)"
keywords: ["DSGVO", "lex specialis", "Art. 95"]
# =============================================================================
# COOKIES UND TRACKING (Art. 5 Abs. 3)
# =============================================================================
cookies:
cookie_consent_rule:
id: EPRIV-COOK-001
topic: "Cookie-Einwilligungsregel (Art. 5 Abs. 3)"
content: |
Art. 5 Abs. 3 der ePrivacy-Richtlinie regelt den Zugriff auf Endgeraete:
GRUNDSATZ:
Die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte
Informationen im Endgeraet eines Nutzers ist NUR zulaessig, wenn:
1. Der Nutzer VORHER informiert wurde (Transparenz)
2. Der Nutzer seine EINWILLIGUNG gegeben hat (Opt-In)
AUSNAHMEN (KEINE Einwilligung erforderlich):
a) TECHNISCH NOTWENDIGE COOKIES
- Fuer die Uebertragung einer Nachricht erforderlich
- Beispiel: Load Balancer Cookies
b) UNBEDINGT ERFORDERLICHE COOKIES
- Vom Nutzer ausdruecklich gewuenscht
- Fuer einen Dienst, den der Nutzer ausdruecklich angefordert hat
- Beispiele:
* Warenkorb-Cookies
* Login-Session-Cookies
* Spracheinstellungen
* Cookie-Consent-Cookie selbst
WICHTIG: Die Ausnahmen sind ENG auszulegen!
- Analytics-Cookies: KEINE Ausnahme, Einwilligung erforderlich
- Marketing-Cookies: KEINE Ausnahme, Einwilligung erforderlich
- Social Media Plugins: KEINE Ausnahme, Einwilligung erforderlich
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
- "EuGH Planet49 (C-673/17)"
- "ErwGr. 66 Richtlinie 2009/136/EG"
keywords: ["Cookie", "Einwilligung", "Art. 5 Abs. 3", "technisch notwendig"]
cookie_consent_requirements:
id: EPRIV-COOK-002
topic: "Anforderungen an Cookie-Einwilligung"
content: |
Die Einwilligung nach Art. 5 Abs. 3 ePrivacy muss den DSGVO-Standards
entsprechen (Verweis auf Definition in DSGVO):
ANFORDERUNGEN:
1. FREIWILLIG
- Keine Nachteile bei Ablehnung
- Kein "Cookie Wall" (umstritten, nationale Unterschiede)
- Gleichwertige Ablehnungsoption
2. INFORMIERT
- Klare Information VORHER
- Welche Cookies, welcher Zweck
- Wer erhaelt Zugriff (Dritte)
- Speicherdauer
3. AKTIVE HANDLUNG
- Opt-In erforderlich (EuGH Planet49)
- Vorausgewaehlte Checkboxen sind UNGUELTIG
- Weitersurfen ist KEINE Einwilligung
4. SPEZIFISCH
- Getrennte Einwilligung pro Zweck
- "Alle akzeptieren" muss gleichwertig zu "Alle ablehnen" sein
5. WIDERRUFBAR
- Jederzeitiger Widerruf muss moeglich sein
- So einfach wie die Erteilung
CONSENT MANAGEMENT PLATFORM (CMP):
Professionelle Cookie-Banner muessen:
- Alle Kategorien einzeln anwaehlbar machen
- "Ablehnen" gleichwertig prominent anbieten
- Consent dokumentieren (Nachweis)
- Widerruf ermoeglichen
legal_refs:
- "Art. 5 Abs. 3 i.V.m. Art. 2 lit. f Richtlinie 2002/58/EG"
- "DSGVO Art. 4 Nr. 11 (Definition Einwilligung)"
- "DSGVO Art. 7 (Bedingungen Einwilligung)"
- "EuGH Planet49 (C-673/17)"
keywords: ["Einwilligung", "Opt-In", "Cookie-Banner", "CMP"]
cookie_categories:
id: EPRIV-COOK-003
topic: "Cookie-Kategorien und Einwilligungspflicht"
content: |
Uebersicht der Cookie-Kategorien und Einwilligungspflicht:
KATEGORIE 1: TECHNISCH NOTWENDIG (KEINE Einwilligung)
- Session-Cookies fuer Login
- Warenkorb-Cookies
- Load-Balancer-Cookies
- CSRF-Token-Cookies
- Cookie-Consent-Cookie
- Spracheinstellungs-Cookies
- Barrierefreiheits-Cookies
KATEGORIE 2: FUNKTIONAL (Einwilligung ERFORDERLICH)
- Praeferenz-Cookies (Design, Layout)
- Video-Player-Einstellungen
- Chat-Widget-Cookies
- Formular-Autofill-Cookies
KATEGORIE 3: ANALYTICS (Einwilligung ERFORDERLICH)
- Google Analytics
- Matomo/Piwik
- Hotjar, Crazy Egg
- Performance-Messung
SONDERFALL: Analytics ohne Einwilligung (UMSTRITTEN!)
- Matomo ohne Cookies und mit IP-Anonymisierung
- Serverseitige Analytics
- Aggregierte Statistiken
- Nationale Behoerden haben unterschiedliche Meinungen!
KATEGORIE 4: MARKETING/WERBUNG (Einwilligung ERFORDERLICH)
- Retargeting-Cookies
- Google Ads/Meta Pixel
- Affiliate-Tracking
- Cross-Site-Tracking
KATEGORIE 5: SOCIAL MEDIA (Einwilligung ERFORDERLICH)
- Facebook Like Button
- Twitter Widgets
- LinkedIn Plugins
- Embedded Content von Dritten
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
- "DSK Orientierungshilfe Telemedien (2022)"
- "CNIL Guidelines on Cookies (2020)"
keywords: ["Cookie-Kategorien", "Analytics", "Marketing", "Social Media"]
local_ai_scenario:
id: EPRIV-COOK-004
topic: "Szenario: Lokale KI-Anwendung (On-Premises)"
content: |
Bei einer lokalen KI-Anwendung wie BreakPilot (On-Premises auf Mac Studio):
GRUNDSAETZLICH:
1. KEIN externer Cookie-Zugriff
- Alle Verarbeitung lokal auf Schulserver
- Keine Cookies an Dritte
- Keine Tracking-Pixel
2. TECHNISCH NOTWENDIGE COOKIES
- Session-Cookies fuer Login: KEINE Einwilligung
- CSRF-Schutz: KEINE Einwilligung
- Benutzereinstellungen (Sprache): Grauzone, besser Einwilligung
3. ANALYTICS
- Interne Nutzungsstatistiken (serverseitig): Kein ePrivacy-Problem
- Falls Cookie-basiert: Einwilligung erforderlich
- Empfehlung: Serverseitige Logs statt Cookies
EMPFEHLUNG FUER BREAKPILOT:
□ Nur Session-Cookies fuer Login verwenden
□ Keine Analytics-Cookies
□ Keine Third-Party-Einbindungen
□ Einfaches Cookie-Banner mit Hinweis auf notwendige Cookies
□ Datenschutzerklaerung mit Cookie-Informationen
VORTEIL:
Durch rein lokale Verarbeitung entfallen die meisten
ePrivacy-Probleme automatisch!
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
keywords: ["lokal", "On-Premises", "Session-Cookie"]
# =============================================================================
# VERKEHRSDATEN (Art. 6)
# =============================================================================
traffic_data:
traffic_data_definition:
id: EPRIV-TRAF-001
topic: "Was sind Verkehrsdaten?"
content: |
Verkehrsdaten (Art. 2 lit. b) sind Daten, die zum Zwecke der Weiterleitung
einer Nachricht oder zum Zwecke der Fakturierung verarbeitet werden:
BEISPIELE:
1. Bei TELEFONIE
- Rufnummern (Anrufer und Angerufener)
- Datum und Uhrzeit
- Dauer des Gespraechs
- Art des Dienstes (Sprache, SMS)
2. Bei INTERNET
- IP-Adressen (dynamisch und statisch)
- Zeitpunkt der Verbindung
- Datenvolumen
- Geraetekennungen (MAC-Adresse, IMEI)
3. Bei E-MAIL
- E-Mail-Adressen (Sender, Empfaenger)
- Zeitstempel
- Betreffzeile (umstritten - eher Inhaltsdaten)
ABGRENZUNG:
- INHALTSDATEN: Der eigentliche Inhalt der Kommunikation (strenger Schutz)
- VERKEHRSDATEN: Metadaten der Kommunikation (weniger streng)
- STANDORTDATEN: Geografische Position (gesondert geregelt)
legal_refs:
- "Art. 2 lit. b Richtlinie 2002/58/EG"
- "Art. 6 Richtlinie 2002/58/EG"
keywords: ["Verkehrsdaten", "Metadaten", "IP-Adresse", "Traffic Data"]
traffic_data_processing:
id: EPRIV-TRAF-002
topic: "Verarbeitung von Verkehrsdaten (Art. 6)"
content: |
Die Verarbeitung von Verkehrsdaten ist streng geregelt:
GRUNDSATZ (Art. 6 Abs. 1):
Verkehrsdaten muessen GELOESCHT oder ANONYMISIERT werden,
sobald sie fuer die Uebertragung nicht mehr benoetigt werden.
AUSNAHMEN:
1. ABRECHNUNG (Art. 6 Abs. 2)
- Verarbeitung fuer Rechnungsstellung zulaessig
- Nur bis Ende der Frist fuer Rechnungsanfechtung
- In Deutschland: 6 Monate
2. VERMARKTUNG VON DIENSTEN (Art. 6 Abs. 3)
- Nur mit EINWILLIGUNG des Teilnehmers
- Nur fuer Vermarktung von Telekommunikationsdiensten
- Jederzeit widerrufbar
3. MEHRWERTDIENSTE (Art. 6 Abs. 4)
- Mit Einwilligung fuer elektronische Mehrwertdienste
- Nutzer muss informiert werden
- Zeitlicher Rahmen definiert
WICHTIG FUER ANBIETER:
- Technische Vorkehrungen zur automatischen Loeschung
- Dokumentation der Loeschfristen
- Keine Speicherung "auf Vorrat" ohne Rechtsgrundlage
legal_refs:
- "Art. 6 Richtlinie 2002/58/EG"
- "EuGH Vorratsdatenspeicherung (verbundene Rs. C-293/12 und C-594/12)"
keywords: ["Verkehrsdaten", "Loeschung", "Abrechnung"]
# =============================================================================
# STANDORTDATEN (Art. 9)
# =============================================================================
location_data:
location_data_rules:
id: EPRIV-LOC-001
topic: "Verarbeitung von Standortdaten (Art. 9)"
content: |
Standortdaten, die ueber Verkehrsdaten hinausgehen, unterliegen
besonderen Regeln nach Art. 9:
DEFINITION (Art. 2 lit. c):
Daten, die den geografischen Standort des Endgeraets eines Nutzers angeben.
GRUNDSATZ:
Verarbeitung von Standortdaten NUR zulaessig wenn:
- Anonymisiert, ODER
- Mit EINWILLIGUNG des Nutzers
ANFORDERUNGEN BEI EINWILLIGUNG:
1. VOR der Verarbeitung einzuholen
2. Umfang und Dauer der Verarbeitung angeben
3. Zweck der Verarbeitung angeben
4. Ob Daten an Dritte weitergegeben werden
5. Widerruf jederzeit moeglich
PRAKTISCHE ANWENDUNG:
- Navigationsdienste: Einwilligung erforderlich
- Standortbasierte Werbung: Einwilligung erforderlich
- Flottenmanagement: Einwilligung der Fahrer
- Find-my-Device: Einwilligung (oft Teil der Nutzungsbedingungen)
SONDERFALL: Notrufe
Standortdaten duerfen fuer Notrufdienste ohne Einwilligung
verarbeitet werden (Art. 10).
legal_refs:
- "Art. 9 Richtlinie 2002/58/EG"
- "Art. 2 lit. c Richtlinie 2002/58/EG"
keywords: ["Standortdaten", "Location Data", "GPS", "Geolocation"]
# =============================================================================
# UNERBETENE NACHRICHTEN - SPAM (Art. 13)
# =============================================================================
spam:
email_marketing_rules:
id: EPRIV-SPAM-001
topic: "E-Mail-Marketing und Direktwerbung (Art. 13)"
content: |
Art. 13 regelt die Verwendung elektronischer Kommunikation fuer
Direktwerbung:
GRUNDSATZ (Opt-In):
Die Verwendung von E-Mail, SMS, Fax oder automatischen Anrufsystemen
fuer Direktwerbung ist NUR zulaessig mit VORHERIGER EINWILLIGUNG.
AUSNAHME - BESTANDSKUNDEN (Art. 13 Abs. 2):
E-Mail-Werbung OHNE Einwilligung ist zulaessig wenn ALLE Bedingungen erfuellt:
1. Der Absender hat die E-Mail-Adresse vom Kunden selbst erhalten
2. Im Zusammenhang mit einem KAUF von Waren/Dienstleistungen
3. Die Werbung bezieht sich auf AEHNLICHE Produkte/Dienstleistungen
4. Der Kunde hatte bei Erhebung die Moeglichkeit zu widersprechen
5. Bei JEDER weiteren Nachricht: Widerspruchsmoeglichkeit (Opt-Out)
WICHTIG: Die Ausnahme ist ENG auszulegen!
- Newsletter: Einwilligung erforderlich (kein "aehnliches Produkt")
- Werbung fuer Dritte: Einwilligung erforderlich
- B2B-Kaltakquise per E-Mail: Umstritten, nationale Unterschiede
TELEFON-WERBUNG:
- Automatische Anrufsysteme: Immer Einwilligung
- Manuelle Anrufe: Nationale Regelung (in D: Einwilligung erforderlich)
ABSENDERKENNUNG:
Die Identitaet des Absenders darf NICHT verschleiert werden!
Eine gueltige Antwortadresse muss vorhanden sein.
legal_refs:
- "Art. 13 Richtlinie 2002/58/EG"
- "§ 7 UWG (Deutschland)"
- "EuGH StWL Staedtische Werke Lauf (C-102/20)"
keywords: ["E-Mail-Marketing", "Spam", "Direktwerbung", "Newsletter", "Opt-In"]
double_opt_in:
id: EPRIV-SPAM-002
topic: "Double Opt-In fuer Newsletter"
content: |
Das Double Opt-In Verfahren ist Best Practice fuer Newsletter-Anmeldungen:
ABLAUF:
1. Nutzer gibt E-Mail-Adresse ein (Single Opt-In)
2. System sendet Bestaetigungs-E-Mail mit Link
3. Nutzer klickt Link zur Bestaetigung (Double Opt-In)
4. Erst dann: Eintrag in Newsletter-Liste
VORTEILE:
- Nachweis der Einwilligung
- Schutz vor Missbrauch (fremde E-Mail-Adressen)
- Reduziert Spam-Beschwerden
- Bessere Zustellraten
ANFORDERUNGEN AN BESTAETIGUNGS-E-MAIL:
- KEINE Werbung enthalten (nur Bestaetigung)
- Klarer Hinweis auf den Zweck
- Bestaetigung muss aktiv erfolgen
- Protokollierung: IP, Zeitstempel, User-Agent
RECHTLICHE EINORDNUNG:
- Die Bestaetigungs-E-Mail selbst ist KEINE Werbung
- Aber: Nur EINE Erinnerung zulaessig
- Nach Nicht-Bestaetigung: Adresse loeschen
SPEICHERDAUER NACHWEIS:
- Einwilligungsnachweis aufbewahren
- Mindestens bis Widerruf + Verjaehrungsfrist
- In Deutschland: 3 Jahre empfohlen
legal_refs:
- "BGH I ZR 164/09 (Double Opt-In)"
- "Art. 7 Abs. 1 DSGVO (Nachweis)"
keywords: ["Double Opt-In", "Newsletter", "Bestaetigung"]
# =============================================================================
# KOMMUNIKATIONSGEHEIMNIS (Art. 5)
# =============================================================================
confidentiality:
communication_secrecy:
id: EPRIV-CONF-001
topic: "Vertraulichkeit der Kommunikation (Art. 5 Abs. 1)"
content: |
Art. 5 Abs. 1 schuetzt die Vertraulichkeit elektronischer Kommunikation:
GRUNDSATZ:
Die Mitgliedstaaten stellen die Vertraulichkeit der mit oeffentlichen
Kommunikationsnetzen uebertragenen Nachrichten sicher.
VERBOTEN IST:
- Abhoeren von Nachrichten
- Anzapfen von Leitungen
- Speicherung von Kommunikation durch Unbefugte
- Jede andere Art des Abfangens
AUSNAHMEN:
- Mit Einwilligung der betroffenen Nutzer
- Gesetzlich erlaubte Ueberwachung (Strafverfolgung)
- Technische Speicherung fuer Uebertragungszwecke
PRAKTISCHE BEDEUTUNG:
1. ARBEITGEBER
- Abhoeren von Mitarbeiter-E-Mails problematisch
- Private Nutzung verboten → mehr Spielraum
- Betriebsvereinbarung empfohlen
2. E-MAIL-PROVIDER
- Automatische Spam-Filter: Zulaessig (technisch notwendig)
- Werbefinanzierte Analyse: Einwilligung erforderlich
3. MESSENGER-DIENSTE
- Ende-zu-Ende-Verschluesselung schuetzt Vertraulichkeit
- "Client-Side Scanning" (geplant) hochumstritten
legal_refs:
- "Art. 5 Abs. 1 Richtlinie 2002/58/EG"
- "Art. 10 GG (Fernmeldegeheimnis)"
- "§ 88 TKG (Deutschland)"
keywords: ["Kommunikationsgeheimnis", "Vertraulichkeit", "Abhoeren"]
# =============================================================================
# NATIONALE UMSETZUNG (DEUTSCHLAND)
# =============================================================================
national_implementation:
germany_ttdsg:
id: EPRIV-NAT-001
topic: "Umsetzung in Deutschland: TTDSG"
content: |
In Deutschland wurde die ePrivacy-Richtlinie durch das
Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) umgesetzt.
TTDSG (seit 01.12.2021):
§ 25 TTDSG - COOKIES UND AEHNLICHE TECHNOLOGIEN:
Entspricht Art. 5 Abs. 3 ePrivacy-Richtlinie
- Einwilligung erforderlich fuer nicht-notwendige Cookies
- Ausnahme: Technisch notwendige Speicherung/Zugriff
§ 26 TTDSG - ANERKANNTE DIENSTE (PIMS):
Personal Information Management Services
- Nutzer kann zentral Einstellungen verwalten
- Websites muessen PIMS-Signale beachten
- Noch kaum praktische Umsetzung
WEITERE RELEVANTE GESETZE:
TKG (Telekommunikationsgesetz):
- § 88 TKG: Fernmeldegeheimnis
- § 96ff TKG: Verkehrsdaten
UWG (Gesetz gegen unlauteren Wettbewerb):
- § 7 UWG: Unzumutbare Belaestigungen
- Spam-Verbot, Telefon-Werbung
SANKTIONEN (§ 28 TTDSG):
- Verstoss gegen § 25: Bussgeld bis 300.000 EUR
- Verstoss gegen § 26: Bussgeld bis 50.000 EUR
legal_refs:
- "TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)"
- "§ 25 TTDSG"
- "§ 7 UWG"
keywords: ["TTDSG", "Deutschland", "§ 25", "PIMS", "UWG"]
dsk_guidance:
id: EPRIV-NAT-002
topic: "Orientierungshilfe der DSK zu Telemedien"
content: |
Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe fuer
Anbieter von Telemedien veroeffentlicht:
KERNAUSSAGEN:
1. EINWILLIGUNG
- Muss VOR dem Setzen von Cookies eingeholt werden
- Vorausgewaehlte Checkboxen sind unwirksam
- "Nur notwendige akzeptieren" muss gleichwertig sein
2. TECHNISCH NOTWENDIG
- Enger Auslegung
- Session-Cookies: Ja
- Persistente Praeferenz-Cookies: Nein
3. INFORMATIONSPFLICHTEN
- Zweck jedes Cookies angeben
- Speicherdauer angeben
- Dritte benennen
4. DOKUMENTATION
- Einwilligungen dokumentieren
- Mindestens: Zeitstempel, Umfang, Version
5. WIDERRUF
- Jederzeit moeglich
- So einfach wie Erteilung
- Link im Footer oder Cookie-Banner
PRAXISTIPP:
Die DSK-Orientierungshilfe ist nicht rechtlich bindend,
wird aber von Aufsichtsbehoerden als Massstab herangezogen.
legal_refs:
- "DSK Orientierungshilfe fuer Anbieter von Telemedien (2022)"
- "DSK Beschluss zu Tracking (2021)"
keywords: ["DSK", "Orientierungshilfe", "Telemedien"]
# =============================================================================
# EPRIVACY-VERORDNUNG (AUSBLICK)
# =============================================================================
future:
eprivacy_regulation:
id: EPRIV-FUT-001
topic: "ePrivacy-Verordnung (ePVO) - Ausblick"
content: |
Die ePrivacy-Verordnung (ePVO) soll die Richtlinie 2002/58/EG ersetzen:
STATUS (Stand 2026):
- Kommissionsvorschlag: Januar 2017
- Rat: Kein Konsens erreicht
- Mehrere Kompromissvorschlaege gescheitert
- Inkrafttreten: Weiterhin unklar
GEPLANTE AENDERUNGEN:
1. VERORDNUNG STATT RICHTLINIE
- Direkt anwendbar in allen Mitgliedstaaten
- Keine Umsetzung erforderlich
- Einheitliche Regeln in der EU
2. ERWEITERTER ANWENDUNGSBEREICH
- Auch OTT-Dienste (WhatsApp, Zoom, etc.)
- Auch Maschine-zu-Maschine-Kommunikation (IoT)
3. COOKIE-WALLS
- Verschiedene Positionen
- Evtl. unter bestimmten Bedingungen zulaessig
4. BROWSER-EINSTELLUNGEN
- "Privacy by Default" im Browser
- Zentrale Einwilligungsverwaltung
5. HARMONISIERTE SANKTIONEN
- DSGVO-aehnliche Bussgelder
BIS ZUR EPVO:
Die Richtlinie 2002/58/EG und nationale Umsetzungen bleiben in Kraft!
legal_refs:
- "COM(2017) 10 final (Kommissionsvorschlag)"
- "Verschiedene Ratsdokumente"
keywords: ["ePVO", "ePrivacy-Verordnung", "Zukunft"]
# =============================================================================
# PRAKTISCHE CHECKLISTEN
# =============================================================================
checklists:
website_checklist:
id: EPRIV-CHECK-001
topic: "ePrivacy-Checkliste fuer Websites"
content: |
Checkliste fuer Website-Betreiber:
COOKIES:
□ Cookie-Audit durchgefuehrt (alle Cookies identifiziert)
□ Kategorisierung (technisch notwendig vs. einwilligungspflichtig)
□ Cookie-Banner implementiert
□ Opt-In vor Setzen von nicht-notwendigen Cookies
□ "Ablehnen" gleichwertig zu "Akzeptieren"
□ Granulare Auswahlmoeglichkeit (Kategorien)
□ Speicherdauer dokumentiert
□ Einwilligungen protokolliert
□ Widerruf jederzeit moeglich
DATENSCHUTZERKLAERUNG:
□ Cookie-Informationen enthalten
□ Alle Cookies mit Zweck aufgelistet
□ Drittanbieter benannt
□ Speicherdauer angegeben
E-MAIL-MARKETING:
□ Double Opt-In implementiert
□ Abmelde-Link in jeder E-Mail
□ Einwilligungen dokumentiert
□ Bei Bestandskunden: Widerspruchsmoeglichkeit
TRACKING/ANALYTICS:
□ Nur mit Einwilligung aktiv
□ Oder: Einwilligungsfreie Alternative (z.B. serverseitig)
□ IP-Anonymisierung aktiviert
□ Datenverarbeitung dokumentiert
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
- "§ 25 TTDSG"
keywords: ["Checkliste", "Website", "Cookie-Banner"]
local_app_checklist:
id: EPRIV-CHECK-002
topic: "ePrivacy-Checkliste fuer lokale Anwendungen"
content: |
Checkliste fuer lokale Anwendungen (On-Premises):
GRUNDSAETZE:
□ Alle Daten bleiben lokal
□ Keine Cloud-Anbindung fuer Nutzerdaten
□ Keine Third-Party-Tracker
COOKIES/LOKALE SPEICHERUNG:
□ Nur Session-Cookies fuer Login
□ Keine persistenten Tracking-Cookies
□ Keine Local Storage fuer Tracking
□ Kein Fingerprinting
ANALYTICS:
□ Serverseitige Logs statt Cookies
□ Keine personenbezogenen Daten in Logs
□ Oder: Einwilligung fuer Cookie-Analytics
KOMMUNIKATION:
□ Keine automatisierten Werbe-E-Mails ohne Einwilligung
□ Abmelde-Moeglichkeit bei Benachrichtigungen
□ Push-Benachrichtigungen nur mit Zustimmung
DOKUMENTATION:
□ Datenschutzerklaerung aktuell
□ Cookie-Informationen (falls Cookies)
□ Technische Dokumentation der Datenverarbeitung
VORTEIL LOKALER VERARBEITUNG:
Die meisten ePrivacy-Anforderungen entfallen bei rein
lokaler Verarbeitung ohne externe Dienste!
legal_refs:
- "Art. 5 Abs. 3 Richtlinie 2002/58/EG"
keywords: ["lokal", "On-Premises", "Checkliste"]
# =============================================================================
# KEYWORDS FUER RAG RETRIEVAL
# =============================================================================
rag_keywords:
primary:
- "ePrivacy"
- "E-Privacy"
- "2002/58/EG"
- "Cookie"
- "Cookie-Richtlinie"
- "Cookie-Banner"
- "Cookie-Consent"
- "Einwilligung"
- "Opt-In"
- "Tracking"
- "TTDSG"
- "§ 25 TTDSG"
- "Art. 5 Abs. 3"
- "Verkehrsdaten"
- "Standortdaten"
- "Spam"
- "E-Mail-Marketing"
- "Newsletter"
- "Direktwerbung"
secondary:
- "Planet49"
- "Kommunikationsgeheimnis"
- "Telekommunikation"
- "OTT-Dienste"
- "Analytics"
- "Google Analytics"
- "Matomo"
- "Retargeting"
- "Double Opt-In"
- "Cookie-Wall"
- "PIMS"
- "DSK"
- "Orientierungshilfe"
- "ePVO"
- "ePrivacy-Verordnung"
- "technisch notwendig"
- "Session-Cookie"
- "Local Storage"
- "Fingerprinting"
- "Third-Party"
- "Cross-Site-Tracking"
Reference in New Issue View Git Blame Copy Permalink