npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-SCC-module2-controller-processor.md ADDED Viewed

@@ -0,0 +1,180 @@
+# Anhang E — Standardvertragsklauseln (SCC) Modul 2 — Controller → Processor
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 (DSGVO).
+**Anwendungsfall**: Der Datenexporteur ist Verantwortlicher (Controller) im EU/EWR; der Datenimporteur ist Auftragsverarbeiter (Processor) in einem Drittland ohne Angemessenheitsbeschluss.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG. Vor Verwendung anwaltliche Prüfung empfohlen — insbesondere zum Transfer Impact Assessment (TIA) gemäß EDPB Recommendations 01/2020.
+---
+## Hinweis zur Verwendung
+Die SCC-Klauseln gemäß EU-Kommissionsbeschluss 2021/914 sind **wortwörtlich** zu übernehmen; ihr Wortlaut darf nicht verändert werden. Dieser Anhang ergänzt sie nur durch die ausgefüllten **Annexe I, II und III**, die Vertragsbestandteil werden. Das vollständige Klauselwerk ist abrufbar unter:
+https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
+**Klausel-Struktur Modul 2 — Übersicht**:
+| Klausel | Titel |
+|---------|-------|
+| Klausel 1 | Zweck und Geltungsbereich |
+| Klausel 2 | Wirkung und Unabänderlichkeit der Klauseln |
+| Klausel 3 | Drittbegünstigte |
+| Klausel 4 | Auslegung |
+| Klausel 5 | Hierarchie |
+| Klausel 6 | Beschreibung der Übermittlung |
+| Klausel 7 | Beitrittsklausel (Docking-Klausel — optional) |
+| Klausel 8 | Pflichten des Datenexporteurs / -importeurs (Modul 2) |
+| 8.1 | Anweisungen |
+| 8.2 | Zweckbindung |
+| 8.3 | Transparenz |
+| 8.4 | Richtigkeit |
+| 8.5 | Speicherbegrenzung & Löschung |
+| 8.6 | Sicherheit der Verarbeitung |
+| 8.7 | Sensible Daten |
+| 8.8 | Weiterleitung |
+| 8.9 | Dokumentation und Compliance |
+| Klausel 9 | Inanspruchnahme von Unterauftragsverarbeitern |
+| Klausel 10 | Rechte der betroffenen Personen |
+| Klausel 11 | Rechtsbehelfe |
+| Klausel 12 | Haftung |
+| Klausel 13 | Aufsicht |
+| Klausel 14 | Lokale Rechtsvorschriften und Verpflichtungen im Drittland |
+| Klausel 15 | Verpflichtungen bei Zugriffen durch Behörden |
+| 15.1 | Benachrichtigung |
+| 15.2 | Überprüfung der Rechtmäßigkeit & Datenminimierung |
+| Klausel 16 | Verstöße & Beendigung |
+| Klausel 17 | Anwendbares Recht |
+| Klausel 18 | Gerichtsstand und Zuständigkeit |
+| Anhang | Annex I.A (Parteien) / I.B (Beschreibung der Übermittlung) / I.C (Aufsichtsbehörde) / Annex II (TOMs) / Annex III (Sub-Auftragsverarbeiter) |
+---
+## Annex I — Liste der Parteien, Beschreibung der Übermittlung, Zuständige Aufsichtsbehörde
+### A. Liste der Parteien
+**Datenexporteur (Verantwortlicher)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Firma> |
+| Anschrift | <Straße, PLZ, Ort, Land> |
+| Kontaktperson Name, Funktion | <Name, Funktion> |
+| Kontakt Email & Telefon | <email>, <Telefon> |
+| Tätigkeiten relevant für die Daten-Übermittlung | <Beschreibung Verarbeitung Verantwortlicher> |
+| Unterschrift & Datum | <s. Hauptvertrag> |
+| Rolle (Controller/Processor) | Controller |
+**Datenimporteur (Auftragsverarbeiter)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Firma> |
+| Anschrift | <Straße, PLZ, Ort, Land> |
+| Kontaktperson Name, Funktion | <Name, Funktion> |
+| Kontakt Email & Telefon | <email>, <Telefon> |
+| Tätigkeiten relevant für die Daten-Übermittlung | <Beschreibung Verarbeitung Auftragsverarbeiter> |
+| Unterschrift & Datum | <s. Hauptvertrag> |
+| Rolle (Controller/Processor) | Processor |
+### B. Beschreibung der Übermittlung
+| Feld | Angabe |
+|------|--------|
+| Kategorien betroffener Personen | <z. B. Endkunden des Datenexporteurs, Mitarbeiter, Lieferanten, Website-Besucher> |
+| Kategorien personenbezogener Daten | <z. B. Stammdaten (Name, Anschrift, E-Mail), Vertragsdaten, Nutzungsdaten (IP, Zeitstempel), Kommunikationsdaten> |
+| Sensible Daten (Art. 9/10 DSGVO) | <keine / Beschreibung + zusätzliche Schutzmaßnahmen> |
+| Häufigkeit der Übermittlung | <kontinuierlich / einmalig / periodisch> |
+| Art der Verarbeitung | <Erhebung, Speicherung, Auslesen, Übermittlung, Löschung — entsprechend Art. 4 Nr. 2 DSGVO> |
+| Zweck(e) der Übermittlung | <z. B. Hosting des SaaS-Dienstes, Erbringung der vertraglichen Leistung> |
+| Speicherdauer | <Vertragsdauer + 30 Tage / nach gesetzlicher Aufbewahrungsfrist> |
+| Bei Sub-Auftragsverarbeitung: Gegenstand, Art, Dauer | <Beschreibung — siehe Annex III> |
+### C. Zuständige Aufsichtsbehörde
+Identifizierung gemäß Klausel 13:
+> Maßgebliche Aufsichtsbehörde nach Art. 51 DSGVO ist die Datenschutzaufsichtsbehörde des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
+>
+> **Zuständige Aufsichtsbehörde**: <z. B. Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, https://www.lda.bayern.de>
+>
+> Anschrift: <…>
+> Web: <…>
+>
+> *Bei Datenexporteuren ohne Niederlassung in der EU (Art. 3 Abs. 2 DSGVO i. V. m. Art. 27): Aufsichtsbehörde des Mitgliedstaats, in dem der EU-Vertreter benannt wurde.*
+---
+## Annex II — Technische und organisatorische Maßnahmen (TOMs)
+> **Verweis**: Vollständiger TOM-Katalog in `AVV-anhang-TOMs.md`. Die dortigen Maßnahmen werden Bestandteil dieses Annex II.
+**Zusammenfassung der Maßnahmen** (vom Datenimporteur ausgefüllt):
+| Kategorie | Maßnahmen (Kurzbeschreibung) |
+|-----------|------------------------------|
+| 1. Pseudonymisierung & Verschlüsselung | TLS ≥ 1.2 / 1.3 in transit; AES-256 at rest; Tokenisierung sensibler Daten |
+| 2. Vertraulichkeit (Zutritts-, Zugangs-, Zugriffs-, Trennungskontrolle) | RBAC + MFA + IAM-basierte Zugangskontrolle; Mandantentrennung; verschlüsselte Storage-Volumes |
+| 3. Integrität (Weitergabe-, Eingabe-Kontrolle) | Audit-Logs; Unterschriftliche Übergabeprotokolle; HMAC-/Signatur-basierte API-Authentifizierung |
+| 4. Verfügbarkeit & Belastbarkeit | Multi-AZ-Deployment; ≥99,9 % SLA; DDoS-Schutz; redundante Storage |
+| 5. Wiederherstellbarkeit | Tägliche Backups; Disaster-Recovery-Plan; RPO ≤ 24h, RTO ≤ 4h |
+| 6. Verfahren zur regelmäßigen Überprüfung | Jährliche Penetration-Tests; ISO 27001 / SOC 2 Type II; vierteljährliche Vulnerability-Scans |
+| 7. Anpassung der Maßnahmen | Risk-Assessment + TOMs-Review jährlich; Change-Management-Prozess |
+**Maßnahmen für Sub-Auftragsverarbeiter** (Klausel 8.7):
+> Sub-Auftragsverarbeiter werden vertraglich auf das gleiche Schutzniveau verpflichtet (siehe Annex III + AVV-anhang-Sub-Processor-List.md). Vor Beauftragung erfolgt Sicherheits-Due-Diligence (TOMs-Review, Zertifikate, Standortprüfung).
+---
+## Annex III — Liste der Sub-Auftragsverarbeiter
+Geltend nur bei Klausel 9(a) — allgemeine schriftliche Genehmigung.
+> **Verweis**: Vollständige Sub-Auftragsverarbeiter-Liste in `AVV-anhang-Sub-Processor-List.md`. Die dortige aktuelle Liste wird Bestandteil dieses Annex III.
+| Nr. | Name | Anschrift | Kontakt | Beschreibung der Verarbeitung | Standort |
+|-----|------|-----------|---------|------------------------------|----------|
+| 1 | <Sub-Auftragsverarbeiter A> | <Adresse> | <Email/DPO> | <Beschreibung — z. B. Hosting, CDN, E-Mail-Versand> | <Land> |
+| 2 | … | … | … | … | … |
+---
+## Optionale Klausel-Auswahl (Hinweise zur Konfiguration)
+**Klausel 7 (Docking-Clause)**: Bei mehrparteiigen Verarbeitungs-Verbünden zu aktivieren — erlaubt späteren Beitritt weiterer Parteien. Standard: nicht aktiviert.
+**Klausel 9 (Sub-Auftragsverarbeiter)**: Optionen
+- **Option 1 (spezifische Genehmigung)**: jeder Sub-Auftragsverarbeiter individuell zu genehmigen.
+- **Option 2 (allgemeine Genehmigung)**: Sub-Auftragsverarbeiter werden mit Mindest-Vorlaufzeit angekündigt; Widerspruchsrecht des Verantwortlichen.
+> Empfehlung: **Option 2 mit 30 Kalendertagen Vorlauf** (siehe § 6.2 des Hauptvertrags).
+**Klausel 11 (Rechtsbehelfe — Optional Independent Dispute Resolution)**: Beilegung über unabhängiges Schlichtungsorgan — selten gewählt; Standard: deaktiviert.
+**Klausel 17 (Anwendbares Recht)**:
+- **Option 1**: Recht eines EU-Mitgliedstaats, der Drittbegünstigtenrechte vorsieht (z. B. Deutschland, Frankreich, Niederlande).
+- **Option 2**: Recht des Mitgliedstaats des Datenexporteurs.
+> Empfehlung: Option 2 mit deutschem Recht.
+**Klausel 18 (Gerichtsstand)**:
+> Empfehlung: <Sitz des Datenexporteurs in Deutschland>.
+---
+## Transfer Impact Assessment (TIA) — Pflicht-Komponente
+Vor jeder Drittlands-Übermittlung ist ein TIA gemäß EDPB Recommendations 01/2020 durchzuführen und zu dokumentieren. Mindest-Inhalte:
+1. **Mapping**: welche Daten werden in welches Drittland übermittelt?
+2. **Bewertung der Rechtslage** im Drittland (FISA 702, Cloud Act, lokale Überwachungsgesetze, gerichtliche Rechtsschutzmöglichkeiten).
+3. **Zusätzliche Maßnahmen** ("Supplementary Measures"): technisch (Verschlüsselung, BYOK), vertraglich (Transparenzberichte, Anfechtungspflicht), organisatorisch (Pseudonymisierung, Zugangsbeschränkung).
+4. **Restrisiko-Bewertung** und Entscheidungsdokumentation (Übermittlung zulässig / aussetzen / Empfänger wechseln).
+5. **Re-Evaluation**: bei Rechtsänderungen, mindestens jährlich.
+> TIA-Vorlage und Dokumentation: separat, nicht Teil dieses Anhangs.
+---
+**Unterzeichnung**: erfolgt im Rahmen des Hauptvertrags / AVV; gesonderte Unterschrift dieses Annex nicht erforderlich, sofern die SCC durch Verweis als Vertragsbestandteil eingebunden sind.

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-SCC-module3-processor-subprocessor.md ADDED Viewed

@@ -0,0 +1,144 @@
+# Anhang E2 — Standardvertragsklauseln (SCC) Modul 3 — Processor → Sub-Processor
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021.
+**Anwendungsfall**: Der Datenexporteur ist Auftragsverarbeiter (Processor) im EU/EWR; der Datenimporteur ist Sub-Auftragsverarbeiter (Sub-Processor) in einem Drittland ohne Angemessenheitsbeschluss. Die Übermittlung erfolgt mit Genehmigung des ursprünglichen Verantwortlichen (Controller) gemäß Art. 28 Abs. 4 DSGVO.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG. Vor Verwendung anwaltliche Prüfung empfohlen.
+---
+## Hinweis zur Verwendung
+Modul 3 ist anwendbar, wenn der Datenexporteur selbst nur Auftragsverarbeiter ist (z. B. Hosting-Provider, der einen CDN- oder Email-Sub-Auftragsverarbeiter in einem Drittland einsetzt). Das Modul stellt sicher, dass die Pflichten des ursprünglichen Verantwortlichen entlang der Verarbeitungskette weitergegeben werden.
+**Schlüssel-Unterschiede zu Modul 2**:
+- Klausel 8.1 (Anweisungen) — Anweisungen werden vom Verantwortlichen über den Datenexporteur weitergegeben.
+- Klausel 8.5 (Speicherbegrenzung) — Löschung/Rückgabe richtet sich nach Anweisungen des Verantwortlichen.
+- Klausel 8.9 (Dokumentation und Compliance) — Audit-Rechte des Verantwortlichen werden dem Sub-Auftragsverarbeiter ausdrücklich zugesprochen.
+- Klausel 9 (Sub-Auftragsverarbeiter weiter unten in der Kette) — analoge Genehmigungspflichten, Anzeige beim Verantwortlichen.
+- Klausel 10–11 (Rechte der betroffenen Personen / Rechtsbehelfe) — Drittbegünstigtenrechte gegenüber Sub-Auftragsverarbeiter.
+**Vollständiges Klauselwerk**: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj — die Klauseln sind wortwörtlich zu übernehmen.
+---
+## Annex I — Liste der Parteien, Beschreibung der Übermittlung, Zuständige Aufsichtsbehörde
+### A. Liste der Parteien
+**Datenexporteur (Auftragsverarbeiter — Processor)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Auftragsverarbeiter — Firma> |
+| Anschrift | <…> |
+| Kontaktperson Name, Funktion | <Name, Funktion> |
+| Kontakt Email & Telefon | <…> |
+| Tätigkeiten relevant für die Daten-Übermittlung | <Beschreibung der eigenen Verarbeitung im Auftrag des Verantwortlichen> |
+| Unterschrift & Datum | <s. Vertrag mit Sub-Auftragsverarbeiter> |
+| Rolle | Processor (im Verhältnis zum Verantwortlichen) |
+**Datenimporteur (Sub-Auftragsverarbeiter — Sub-Processor)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Sub-Auftragsverarbeiter — Firma> |
+| Anschrift | <…> |
+| Kontaktperson Name, Funktion | <Name, Funktion> |
+| Kontakt Email & Telefon | <…> |
+| Tätigkeiten relevant für die Daten-Übermittlung | <Beschreibung der Sub-Verarbeitung — z. B. CDN, E-Mail-Versand, Bilderkennung-API> |
+| Unterschrift & Datum | <…> |
+| Rolle | Sub-Processor |
+**Ursprünglicher Verantwortlicher (Controller — informativ)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Controller — Firma; Endkunde des Datenexporteurs> |
+| Anschrift | <…> |
+| Verweis auf Hauptvertrag | <AVV zwischen Controller und Processor — Datum> |
+> *Der Controller ist nicht Vertragspartei der Modul-3-SCC, ihm stehen jedoch Drittbegünstigtenrechte nach Klausel 3 zu.*
+### B. Beschreibung der Übermittlung
+| Feld | Angabe |
+|------|--------|
+| Kategorien betroffener Personen | <…> |
+| Kategorien personenbezogener Daten | <…> |
+| Sensible Daten (Art. 9/10 DSGVO) | <…> |
+| Häufigkeit der Übermittlung | <…> |
+| Art der Verarbeitung | <…> |
+| Zweck(e) der Übermittlung | <z. B. Bereitstellung Subdienstleistung — CDN-Caching, Email-Delivery, Push-Notifications> |
+| Speicherdauer | <…> |
+| Bei weiteren Sub-Sub-Auftragsverarbeitern: Beschreibung | <… / nicht zutreffend> |
+### C. Zuständige Aufsichtsbehörde
+> Maßgebliche Aufsichtsbehörde nach Art. 51 DSGVO ist die Datenschutzaufsichtsbehörde des Mitgliedstaats, in dem der **ursprüngliche Verantwortliche (Controller)** niedergelassen ist.
+>
+> **Zuständige Aufsichtsbehörde**: <z. B. BayLDA, Promenade 18, 91522 Ansbach, https://www.lda.bayern.de>
+>
+> Anschrift: <…>
+> Web: <…>
+---
+## Annex II — Technische und organisatorische Maßnahmen (TOMs)
+> **Verweis**: Vollständiger TOM-Katalog in `AVV-anhang-TOMs.md`. Die TOMs des Sub-Auftragsverarbeiters müssen mindestens das Niveau der TOMs zwischen Controller und Processor erreichen.
+| Kategorie | Mindest-Maßnahmen Sub-Auftragsverarbeiter |
+|-----------|-------------------------------------------|
+| 1. Pseudonymisierung & Verschlüsselung | TLS ≥ 1.2; AES-256 at rest |
+| 2. Vertraulichkeit | RBAC + MFA, mandantenfähige Trennung |
+| 3. Integrität | Signierte API-Calls, Audit-Logs ≥ 90 Tage |
+| 4. Verfügbarkeit | ≥ 99,9 % SLA |
+| 5. Wiederherstellbarkeit | RPO ≤ 24h, RTO ≤ 4h |
+| 6. Regelmäßige Überprüfung | ISO 27001 oder SOC 2 Type II zertifiziert |
+| 7. Anpassung der Maßnahmen | Jährliches Review + Change-Management |
+---
+## Annex III — Liste der weiteren Sub-Auftragsverarbeiter (Sub-Sub-Processor-Chain)
+Falls der Sub-Auftragsverarbeiter selbst weitere Sub-Auftragsverarbeiter einsetzt, sind diese hier zu listen — mit Genehmigung über die gesamte Vertragskette zurück zum Verantwortlichen.
+| Nr. | Name | Anschrift | Beschreibung der Verarbeitung | Standort | Genehmigung erteilt am |
+|-----|------|-----------|------------------------------|----------|------------------------|
+| 1 | <…> | <…> | <…> | <…> | <Datum> |
+---
+## Konfigurations-Hinweise (Modul 3 spezifisch)
+**Klausel 8.1 (Anweisungen)**:
+- Anweisungen werden vom Datenexporteur (Processor) weitergegeben — Beruhend auf Anweisungen des ursprünglichen Verantwortlichen.
+- Der Sub-Auftragsverarbeiter darf direkte Weisungen des ursprünglichen Verantwortlichen nur entgegennehmen, wenn der Datenexporteur dem zustimmt.
+**Klausel 8.9 (Audit)**:
+- Audits können sowohl vom Datenexporteur (Processor) als auch — über den Datenexporteur — vom ursprünglichen Verantwortlichen durchgeführt werden.
+- Die Sub-Sub-Auftragsverarbeiter-Kette muss audit-zugänglich sein.
+**Klausel 9 (weitere Sub-Auftragsverarbeiter)**:
+- Hinzuziehung erfordert vorherige Genehmigung des Datenexporteurs UND — durch Weitergabe — des ursprünglichen Verantwortlichen.
+- Vorlauffrist und Widerspruchsrecht entsprechend AVV zwischen Controller und Processor.
+**Klausel 16 (Beendigung)**:
+- Bei Verstoß durch den Sub-Auftragsverarbeiter kann der Datenexporteur die Übermittlung aussetzen.
+- Der ursprüngliche Verantwortliche kann den Datenexporteur auffordern, die Übermittlung auszusetzen.
+---
+## Transfer Impact Assessment (TIA) — Pflicht
+TIA für jeden Sub-Auftragsverarbeiter mit Drittlandbezug separat erforderlich. Insbesondere zu prüfen:
+- Aggregations-Risiko: führt die Sub-Verarbeitung zu zusätzlicher Drittlandsexposition über die ursprüngliche Übermittlung hinaus?
+- Gerichtsbarkeits-Kollision: unterliegt der Sub-Auftragsverarbeiter zusätzlichen Drittland-Überwachungsgesetzen?
+- Supplementary Measures: BYOK / Schlüsseltrennung / Pseudonymisierung an der Schnittstelle Processor → Sub-Processor.
+---
+**Unterzeichnung**: erfolgt im Rahmen des Vertrags zwischen Datenexporteur (Auftragsverarbeiter) und Datenimporteur (Sub-Auftragsverarbeiter). Der ursprüngliche Verantwortliche erhält Kopie zur Akte.

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-Sub-Processor-List.md ADDED Viewed

@@ -0,0 +1,114 @@
+# Anhang C — Sub-Auftragsverarbeiter-Liste (Versioniertes Template)
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Art. 28 Abs. 2, 4 DSGVO; § 6 AVV (siehe `AVV-standard-DE.md`).
+**Anwendungsfall**: Anhang C des AVV; zugleich Annex III der EU SCC 2021/914 Module 2 / 3.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG. Diese Liste ist Vertragsbestandteil und muss bei jeder Änderung dem Verantwortlichen mit Vorlauffrist angekündigt werden (§ 6.2 AVV).
+---
+## Versionierung
+| Version | Datum | Autor | Änderung | Genehmigt durch Verantwortlichen am |
+|---------|-------|-------|----------|-------------------------------------|
+| v1.0 | <YYYY-MM-DD> | <Name> | Initialfassung | <Datum / N/A bei Erst-Genehmigung> |
+| v1.1 | <YYYY-MM-DD> | <Name> | Hinzufügen Sub-Processor X (CDN-Wechsel) | <Datum> |
+| v1.2 | <YYYY-MM-DD> | <Name> | Entfernung Sub-Processor Y (Vertrag beendet) | <Datum> |
+**Aktuelle Version**: v<X.Y> vom <Datum>
+**Nächste planmäßige Aktualisierung**: <Datum / "auf Änderungs-Anlass">
+**Veröffentlichungsort**: <interner Pfad / Vendor-Portal / Email an `dsb@<verantwortlicher>.de`>
+---
+## Aktive Sub-Auftragsverarbeiter
+| Nr. | Name | Adresse / Land | Kontakt (DPO/email) | Verarbeitungs-Tätigkeit | Datenkategorien | Standort der Verarbeitung | Drittland-Garantie | Beauftragt seit | Genehmigt durch Verantwortlichen am |
+|-----|------|----------------|---------------------|-------------------------|-----------------|---------------------------|---------------------|-----------------|-------------------------------------|
+| 1 | <z. B. Amazon Web Services EMEA SARL> | <38 Avenue John F. Kennedy, L-1855 Luxembourg> | <aws-EU-privacy@amazon.com> | Cloud-Hosting (EC2, RDS, S3, IAM) | Stammdaten, Vertragsdaten, Nutzungsdaten, Backup-Daten | EU (Frankfurt eu-central-1) | EU (kein Drittland) | <YYYY-MM-DD> | <YYYY-MM-DD> |
+| 2 | <z. B. Cloudflare, Inc.> | <101 Townsend Street, San Francisco, CA 94107, USA> | <dpo@cloudflare.com> | CDN, DNS, DDoS-Schutz, WAF | IP-Adressen, Request-Metadaten, optional TLS-terminierte Inhalte | USA + globale Edge | EU SCC 2021/914 Modul 3 + DPF Zertifizierung | <YYYY-MM-DD> | <YYYY-MM-DD> |
+| 3 | <z. B. Stripe Payments Europe Ltd> | <The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland> | <privacy@stripe.com> | Payment-Verarbeitung | Zahlungsdaten (über Stripe Elements; PSP eigenverantwortlich) | EU + USA | EU SCC + DPF + PCI-DSS | <YYYY-MM-DD> | <YYYY-MM-DD> |
+| 4 | <z. B. Sendgrid (Twilio Inc.)> | <889 Winslow Street, Redwood City, CA 94063, USA> | <privacy@twilio.com> | E-Mail-Versand (Transactional Mail) | Email-Adressen, Mail-Inhalte | USA | EU SCC + DPF | <YYYY-MM-DD> | <YYYY-MM-DD> |
+| 5 | <…> | <…> | <…> | <…> | <…> | <…> | <…> | <…> | <…> |
+---
+## Beendete Sub-Auftragsverarbeiter (Archiv — letzte 24 Monate)
+> Pflicht zur Dokumentation aufgrund Audit-Trail; nach 24 Monaten archivierbar.
+| Nr. | Name | Beauftragt von – bis | Grund der Beendigung | Datenrückgabe / Löschung erfolgt am | Lösch-Zertifikat |
+|-----|------|----------------------|---------------------|-------------------------------------|------------------|
+| 1 | <Sub-Processor Z> | <YYYY-MM-DD> – <YYYY-MM-DD> | <Vertragsablauf / Vendor-Wechsel / Compliance-Mangel> | <YYYY-MM-DD> | <Anhang Z im Audit-Ordner> |
+---
+## Pending — Avisierte Sub-Auftragsverarbeiter (in Genehmigungs-Verfahren)
+> Bei laufendem 30-Tages-Vorlauf (§ 6.2 AVV) hier abbilden.
+| Nr. | Name | Adresse | Verarbeitungs-Tätigkeit | Geplanter Start | Mitteilung an Verantwortlichen am | Widerspruchsfrist endet | Status |
+|-----|------|---------|-------------------------|-----------------|----------------------------------|------------------------|--------|
+| 1 | <…> | <…> | <…> | <YYYY-MM-DD> | <YYYY-MM-DD> | <YYYY-MM-DD> | <pending / objected / approved> |
+---
+## Konzern-interne Dienstleister (informativ)
+> Konzern-Privileg nach § 6.7 AVV: konzern-interne Dienstleister sind keine Sub-Auftragsverarbeiter im engeren Sinne; gleichwohl Transparenz-Pflicht.
+| Nr. | Name | Konzern-Verhältnis | Tätigkeit | Standort |
+|-----|------|--------------------|-----------|----------|
+| 1 | <z. B. <Auftragsverarbeiter> Inc. (US-Mutter)> | 100 % Mutter | Tier-3-Support, On-Call | USA |
+| 2 | <…> | <…> | <…> | <…> |
+---
+## Pflichtangaben pro Sub-Auftragsverarbeiter (Checkliste)
+Bei jedem Listing sind folgende Angaben zwingend:
+- ☐ Voller Firmenname inkl. Rechtsform
+- ☐ Vollständige Anschrift (Sitz)
+- ☐ Datenschutz-Kontakt (DPO oder Privacy-Email)
+- ☐ Beschreibung der Verarbeitung (Tätigkeit + Datenkategorien)
+- ☐ Standort der Verarbeitung (mind. Land + Region)
+- ☐ Drittland-Garantie (Adäquanz / SCC / DPF / BCR / Ausnahme nach Art. 49)
+- ☐ Vertragsbeginn-Datum
+- ☐ TOM-Niveau bestätigt (mindestens äquivalent zu eigenem TOM-Katalog)
+- ☐ Sicherheits-Zertifikate (ISO 27001 / SOC 2 / etc.) — Verweis oder PDF im Vendor-Ordner
+---
+## Genehmigungs-Workflow (Workflow-Hinweis)
+1. **Avisierung** durch Auftragsverarbeiter an `dsb@<verantwortlicher>.de` — 30 Tage Vorlauf (§ 6.2 AVV).
+2. **Prüfung** durch Verantwortlichen — Datenschutz-Due-Diligence:
+   - TOM-Niveau-Vergleich
+   - Drittland-Risiko-Bewertung (TIA bei Drittland)
+   - Sub-Processor-Vertragsentwurf (Auftragsverarbeitung Art. 28 Abs. 4)
+3. **Entscheidung** binnen 14 Tagen — Zustimmung / begründeter Widerspruch.
+4. **Update** der Liste auf neue Version; alle Vertragsparteien erhalten Notification.
+5. **Effektiv-Datum** frühestens 30 Tage nach Avisierung, sofern kein Widerspruch.
+---
+## Notification-Mechanismus (zu wählen)
+> Wie kündigt der Auftragsverarbeiter Änderungen an? Mehrfach-Auswahl möglich.
+- ☐ Email an `dsb@<verantwortlicher>.de`
+- ☐ RSS-Feed / Atom-Feed mit Subscribe-URL: <…>
+- ☐ Vendor-Portal mit Audit-Trail: <URL>
+- ☐ Webhook-Notification an URL des Verantwortlichen: <…>
+- ☐ Veröffentlichung auf öffentlicher Sub-Processor-Page: <URL> (zusätzlich Email-Notification)
+---
+**Verantwortlich für die Pflege dieser Liste**:
+> <Datenschutzbeauftragter Auftragsverarbeiter — Name + Email>
+**Audit-Recht**:
+Der Verantwortliche kann jederzeit die aktuelle Liste anfordern + die Pflege-Prozesse auditieren (siehe § 8 AVV / Anhang D Audit-Klausel-Varianten).

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-TOMs.md ADDED Viewed

@@ -0,0 +1,197 @@
+# Anhang B — Technische und Organisatorische Maßnahmen (TOM-Katalog)
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Art. 32 DSGVO, Art. 8 revDSG, ISO 27001:2022, BSI IT-Grundschutz, NIST SP 800-53.
+**Anwendungsfall**: Anhang B des AVV (`AVV-standard-DE.md` / `AVV-EN-international.md`); zugleich Annex II der EU SCC 2021/914 Module 2 / 3.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG. Die folgenden Maßnahmen sind Mindeststandards; bei besonderen Risiken (sensible Daten Art. 9/10 DSGVO, Großmengen-Verarbeitung, Drittlands-Bezug) sind sie zu erhöhen.
+---
+## Struktur (analog Art. 32 DSGVO + EU SCC Annex II)
+7 Kategorien:
+1. Pseudonymisierung & Verschlüsselung
+2. Vertraulichkeit (Zutritts-, Zugangs-, Zugriffs-, Trennungskontrolle)
+3. Integrität (Weitergabe-, Eingabe-Kontrolle)
+4. Verfügbarkeit & Belastbarkeit
+5. Wiederherstellbarkeit nach Zwischenfällen
+6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
+7. Maßnahmen-Anpassung (Datenschutz-Management)
+---
+## Kategorie 1 — Pseudonymisierung & Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
+| Maßnahme | Implementierung beim Auftragsverarbeiter (Pflicht-Item) | Ist-Stand <ja/nein/teilweise> |
+|----------|--------------------------------------------------------|------------------------------|
+| Verschlüsselung in transit | TLS ≥ 1.2 (vorzugsweise 1.3); HSTS preload; PFS-Cipher-Suites; HTTP/2 oder HTTP/3 | <…> |
+| Verschlüsselung at rest | AES-256-GCM für Datenbank-Storage; AES-256 für Backup-Volumes; volume-level encryption (LUKS / cloud-managed KMS) | <…> |
+| Schlüsselverwaltung | Hardware Security Module (HSM) oder Cloud KMS (AWS KMS / GCP KMS / Azure Key Vault); Key Rotation jährlich; BYOK-Option für Verantwortlichen | <…> |
+| Pseudonymisierung | UUID-basierte Pseudonyme; Mapping-Tabellen separat gespeichert; Re-Identifikations-Schlüssel nur autorisiertem Personal zugänglich | <…> |
+| Anonymisierung | Statistische Anonymisierung (k-Anonymität / Differential Privacy) für Analytics-Datasets, soweit anwendbar | <…> |
+| Token-basierte Authentisierung | JWT mit kurzen TTLs (≤15 min); Refresh-Token rotiert + revoke-fähig | <…> |
+| Email-Verschlüsselung | TLS für SMTP-Übermittlung; S/MIME oder PGP für sensible Inhalte | <…> |
+| Mobile Geräte | Geräteverschlüsselung verpflichtend (FileVault / BitLocker / Android FBE) | <…> |
+---
+## Kategorie 2 — Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
+### 2.1 Zutrittskontrolle (physisch)
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Rechenzentrum-Zugang | ISO 27001 / SOC 2 zertifiziertes RZ; Mehrfaktor-Zutritt (Karte + Biometrie); Besucherprotokoll | <…> |
+| Bürozugang | Schlüssel-/Token-System; Besucher-Anmeldung; Empfang | <…> |
+| Verschluss-Schränke | für Akten + Backup-Medien | <…> |
+| Alarmanlage / Videoüberwachung | mit revisionssicherer Speicherung | <…> |
+| Aufbewahrung Hardware bei Außendienst | Diebstahlsicherung; verschlüsselte Geräte | <…> |
+### 2.2 Zugangskontrolle (logisch — Authentifizierung)
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| MFA verpflichtend | für Mitarbeiter UND Admin-Accounts; TOTP / FIDO2 / WebAuthn | <…> |
+| Passwort-Policy | ≥12 Zeichen, Multi-Charset, Hash mit bcrypt/argon2, NIST SP 800-63B-konform | <…> |
+| Single Sign-On (SSO) | für interne Tools mit zentralem IdP (Azure AD / Okta / Keycloak) | <…> |
+| Session-Management | absolute + idle Timeout; Logout-on-close; Session-Token rotiert | <…> |
+| Account-Lockout | nach 5 Fehlversuchen für 15 min | <…> |
+| Privileged Access Management (PAM) | Just-in-Time-Zugriff für Admin-Tasks; Audit-Logs | <…> |
+### 2.3 Zugriffskontrolle (Autorisierung)
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Role-Based Access Control (RBAC) | Rollen-/Rechtematrix dokumentiert; Need-to-know-Prinzip | <…> |
+| Least Privilege | minimal notwendige Rechte; periodisches Review (quartalsweise) | <…> |
+| Daten-Klassifikation | öffentlich / intern / vertraulich / streng vertraulich; Markierung in Storage-Systemen | <…> |
+| Audit-Logs | sämtliche Zugriffe auf personenbezogene Daten loggen; Retention ≥ 90 Tage; manipulationssicher | <…> |
+| Berechtigungs-Review | mind. quartalsweise; bei Personalwechsel sofort | <…> |
+### 2.4 Trennungskontrolle (Mandantentrennung)
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Mandantentrennung | logisch (tenant_id pro Datensatz + Row-Level-Security) ODER physisch (separate DB-Instanzen) | <…> |
+| Test- vs. Produktivsystem | getrennt; keine Echt-Daten in Test-Umgebungen | <…> |
+| Multi-Tenancy-Isolation | API-seitig durch tenant_id-Validierung jeder Anfrage; AEGIS tenant-isolation-checker konform | <…> |
+---
+## Kategorie 3 — Integrität (Art. 32 Abs. 1 lit. b DSGVO)
+### 3.1 Weitergabekontrolle
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Sichere Übertragungskanäle | TLS-Pflicht für API; SFTP/SSH für Datei-Transfer; VPN für Mitarbeiter-Remote-Access | <…> |
+| Übergabeprotokolle | dokumentiert für jede manuelle Datenübergabe | <…> |
+| Sichere Datenträger-Vernichtung | nach DIN 66399 Stufe ≥ H4 / E3 / O3; Vernichtungs-Zertifikat | <…> |
+### 3.2 Eingabekontrolle
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Audit-Logging | Anlage / Änderung / Löschung personenbezogener Daten loggen | <…> |
+| Versionierung | bei kritischen Datensätzen; Wiederherstellbarkeit von Vorgängerversionen | <…> |
+| Eingangsvalidierung | Server-side Input-Validation; SQL-Injection-Schutz; XSS-Schutz | <…> |
+| Signatur-Validierung | bei API-Calls mit kritischer Wirkung (HMAC / JWS / Webhook-Signatures) | <…> |
+---
+## Kategorie 4 — Verfügbarkeit & Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Hochverfügbarkeit | Multi-AZ-Deployment; SLA ≥ 99,9 % | <…> |
+| Lastverteilung | Load Balancer; Auto-Scaling | <…> |
+| DDoS-Schutz | Cloudflare / AWS Shield / Azure DDoS Protection | <…> |
+| Brand-/Wassermelder | im RZ (i. d. R. durch RZ-Anbieter sichergestellt) | <…> |
+| USV / Notstrom | im RZ ≥ 24 h Überbrückung | <…> |
+| Regelmäßige Backups | täglich inkrementell + wöchentlich vollständig; geographisch redundant gespeichert | <…> |
+| Backup-Verschlüsselung | AES-256 at rest + in transit | <…> |
+| Backup-Restore-Test | quartalsweise; dokumentiert | <…> |
+---
+## Kategorie 5 — Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Disaster Recovery Plan | dokumentiert; jährlich getestet; Rollen + Verantwortlichkeiten benannt | <…> |
+| Recovery Point Objective (RPO) | ≤ <24h / 4h / 1h> | <…> |
+| Recovery Time Objective (RTO) | ≤ <4h / 1h / 15 min> | <…> |
+| Business Continuity Plan | für kritische Prozesse; jährliches Tabletop-Exercise | <…> |
+| Incident Response Plan | dokumentiert; Eskalations-Matrix; 24/7-Bereitschaft (für kritische Services) | <…> |
+---
+## Kategorie 6 — Regelmäßige Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Penetrations-Tests | extern beauftragt; mind. jährlich; bei Major-Releases zusätzlich | <…> |
+| Vulnerability-Scans | wöchentlich automatisiert (z. B. AEGIS, Nessus, Qualys, Trivy für Container) | <…> |
+| Code-Reviews | 4-Augen-Prinzip vor Merge | <…> |
+| Static Application Security Testing (SAST) | in CI-Pipeline (z. B. AEGIS, Semgrep, SonarQube) | <…> |
+| Dependency-Scanning | tagesaktuell (z. B. Dependabot, Snyk, AEGIS); CVE-Patches binnen <30 / 7 / 1> Tagen je nach Severity | <…> |
+| ISO 27001 / SOC 2 Type II | zertifiziert / re-zertifiziert jährlich | <…> |
+| Datenschutz-Schulungen | alle Mitarbeiter, jährliche Auffrischung | <…> |
+| Phishing-Simulation | mindestens halbjährlich | <…> |
+---
+## Kategorie 7 — Maßnahmen-Anpassung (Datenschutz-Management)
+| Maßnahme | Implementierung | Ist-Stand |
+|----------|----------------|-----------|
+| Datenschutzbeauftragter (DSB) | bestellt nach Art. 37 DSGVO / § 38 BDSG; Kontakt veröffentlicht | <…> |
+| Verfahrensverzeichnis (Art. 30 DSGVO) | aktuell geführt; jährlich reviewed | <…> |
+| DSFA-Prozess (Art. 35 DSGVO) | dokumentiert; bei hohem Risiko durchgeführt | <…> |
+| Auftragsverarbeitungs-Register | für eigene Auftragsverarbeiter geführt; regelmäßiger Sub-Processor-Review | <…> |
+| Datenpannen-Meldeprozess | dokumentiert; 24-h-Erstmeldung an Verantwortlichen; 72-h-Aufsichtsbehörden-Meldung | <…> |
+| Privacy by Design / Default | in Software-Entwicklungs-Lifecycle integriert | <…> |
+| Vendor-Onboarding-Check | Datenschutz-Due-Diligence für jeden neuen Sub-Auftragsverarbeiter | <…> |
+| Change-Management | bei TOM-Änderungen Information des Verantwortlichen vor Wirksamwerden | <…> |
+| Awareness-Programm | regelmäßige Mitarbeiter-Sensibilisierung (Phishing, Datenschutz, Insider-Threat) | <…> |
+| Whistleblower-Channel | für Datenschutz-Verstöße; HinSchG-konform (DE) | <…> |
+---
+## Erweiterungen für besondere Risiko-Kategorien
+### Bei sensiblen Daten (Art. 9 / 10 DSGVO; Art. 5 lit. c revDSG)
+Zusätzlich zu den Standard-Maßnahmen:
+- **Tokenisierung** sensibler Felder (Gesundheits-IDs, Genetik-Marker, biometrische Templates)
+- **Confidential Computing** / Secure Enclaves (Intel SGX, AMD SEV) für Verarbeitung im Speicher
+- **Strikte Audit-Logs** mit verlängerter Retention (≥ 1 Jahr)
+- **4-Augen-Prinzip** für jeden Datenzugriff
+- **DSFA** verpflichtend
+- **Pseudonymisierung** als Default — Re-Identifikation nur über separat gespeicherten Schlüssel
+### Bei Finanzdaten (PCI-DSS-relevante Daten)
+- **PCI-DSS Level 1** Compliance bei großen Volumina (≥ 6 Mio. Transaktionen/Jahr)
+- **Tokenisierung** der Kartendaten (PSP-Token statt PAN)
+- **Network-Segmentation** (CDE-Trennung)
+- **HSM** für Schlüsselmaterial
+### Bei KRITIS / DORA (Finanzsektor)
+- **24/7-Security Operations Center (SOC)**
+- **§ 8a BSIG**-konforme Berichterstattung (DE)
+- **DORA Art. 19** ICT-Vorfall-Meldung — initialer Bericht innerhalb 4h, finaler Bericht innerhalb von 1 Monat
+- **TIBER-EU**-konforme Threat-Led Penetration Tests
+---
+## Versionierungs-Hinweis
+> Dieser TOM-Katalog wird **mindestens jährlich** durch den Auftragsverarbeiter überprüft und bei Änderungen mit neuer Versions-Nummer + Datum re-veröffentlicht. Wesentliche Änderungen werden dem Verantwortlichen vorab in Textform angekündigt; das Schutzniveau darf nicht unterschritten werden (siehe § 5.2 AVV).
+**Letztes Review**: <Datum>
+**Nächstes Review**: <Datum + 12 Monate>
+**Verantwortlich**: <Datenschutzbeauftragter / CISO>