npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.2 - Mend

@aegis-scan/skills 0.5.0 → 0.5.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (345) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-CH-revDSG.md ADDED Viewed

@@ -0,0 +1,127 @@
+# Anhang E4 — Schweizer Anhang (revDSG / FADP)
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Bundesgesetz über den Datenschutz (DSG) vom 25. September 2020, in Kraft seit **1. September 2023** (revDSG); ergänzt durch die Datenschutzverordnung (DSV) und die Verordnung über Datenschutzzertifizierungen (VDSZ).
+**Anwendungsfall**: Übermittlung personenbezogener Daten von einem schweizerischen Verantwortlichen oder Auftragsbearbeiter in ein Drittland ohne Schweizer Angemessenheitsbeschluss (siehe SR 235.11 Anhang). Wird als **Anhang zu den EU-SCC 2021/914** verwendet (im Gleichklang mit EDÖB-Praxis seit 27. August 2021).
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG / Art. 5 lit. c BGFA. Vor Verwendung anwaltliche Prüfung empfohlen — insbesondere zu juristischer Person als geschützte Betroffene (vor revDSG) und zur Auftragsbearbeiter-Definition (Art. 9 revDSG).
+**Quelle EDÖB**: https://www.edoeb.admin.ch
+---
+## Hinweis zur Verwendung
+Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat am 27. August 2021 mitgeteilt, dass die EU SCC 2021/914 als Garantie für Datenübermittlungen ins Ausland nach Schweizer Recht verwendbar sind, **sofern** spezifische Anpassungen vorgenommen werden. Dieser Anhang bildet diese Anpassungen ab.
+**Schlüssel-Unterschiede revDSG vs. DSGVO**:
+| Aspekt | DSGVO | revDSG |
+|--------|-------|--------|
+| Schutz juristischer Personen | nein | nein (seit 01.09.2023; vorher: ja im DSG 1992) |
+| Kategorien sensibler Daten | Art. 9: Gesundheit, Genetik, Biometrie, ethnische Herkunft, politische/religiöse Überzeugung, Gewerkschaft, Sexualität | Art. 5 lit. c: zusätzlich administrative/strafrechtliche Sanktionen + Sozialhilfe |
+| Verarbeitungsverzeichnis (Art. 30 DSGVO) | ab 250 MA / spezifische Risiken | nur ab 250 MA und bestimmte hochrisikoreiche Verarbeitung (Art. 12 revDSG) |
+| Bußgelder | bis 20 Mio EUR / 4 % Weltumsatz (gegen Unternehmen) | bis CHF 250'000 — gegen **natürliche Personen** (Geschäftsführung) (Art. 60 revDSG) |
+| Datenschutz-Folgenabschätzung | Art. 35 DSGVO | Art. 22 revDSG (Datenschutz-Folgenabschätzung) |
+| Meldefrist Datenpannen | 72 h | "**so rasch als möglich**" (Art. 24 revDSG; keine feste Frist) |
+| Rechte Betroffener | Auskunft, Berichtigung, Löschung, etc. | analog (Art. 25–32 revDSG) |
+| EU-Vertreter | Art. 27 DSGVO | Art. 14 revDSG — Vertretung erforderlich für ausländische Verantwortliche bei systematischen, umfangreichen oder hochrisikoreichen Verarbeitungen |
+---
+## Anpassungen der EU SCC 2021/914 für die Schweiz
+**Anpassung 1 — Definition "Verordnung (EU) 2016/679 / DSGVO"**:
+> Verweise auf "Verordnung (EU) 2016/679" oder "DSGVO" in den SCC werden — soweit Schweizer Daten betroffen sind — wie folgt ergänzt:
+>
+> *"Bei Übermittlungen, die ausschliesslich oder zusätzlich dem schweizerischen Bundesgesetz über den Datenschutz (revDSG) unterstehen, gelten die SCC sinngemäss; an die Stelle der DSGVO-Verweise tritt das revDSG bzw. die DSV. Auf Art. 4 Nr. 1 DSGVO Bezug nehmende Begriffe schliessen — soweit das revDSG dies vorsieht — den Schutz juristischer Personen ein, sofern die Daten vor dem 1. September 2023 erhoben wurden und Schutz juristischer Personen nach altem DSG noch nachwirkt."*
+**Anpassung 2 — Aufsichtsbehörde (Klausel 13)**:
+> An die Stelle der EU-Aufsichtsbehörde tritt der **Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)**:
+>
+> Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
+> Feldeggweg 1
+> CH-3003 Bern
+> https://www.edoeb.admin.ch
+>
+> Bei rein schweizerischen Übermittlungen ist der EDÖB allein zuständig. Bei Multi-Jurisdiktions-Übermittlungen (EU + CH) ist die EU-Aufsichtsbehörde zusätzlich zuständig für DSGVO-Aspekte.
+**Anpassung 3 — Anwendbares Recht (Klausel 17)**:
+> Für Übermittlungen aus der Schweiz ist Schweizer Recht anwendbar (anstelle EU-Mitgliedstaatsrecht).
+**Anpassung 4 — Gerichtsstand (Klausel 18)**:
+> Für Streitigkeiten unter schweizerischem Recht: zuständige schweizerische Gerichte (i. d. R. am Sitz des Datenexporteurs / Verantwortlichen).
+**Anpassung 5 — Drittbegünstigte (Klausel 3)**:
+> Ergänzung: Drittbegünstigtenrechte stehen auch betroffenen juristischen Personen zu, soweit nach altem DSG (vor 01.09.2023) erhoben und nachwirkende Schutzwirkung besteht.
+**Anpassung 6 — Verstoßmeldung**:
+> Klausel 8.6 / Modul-spezifische Pflichten zur Meldung von Datenschutzverletzungen werden ergänzt um die Pflicht des Verantwortlichen nach Art. 24 revDSG, dem EDÖB Datenpannen "**so rasch als möglich**" zu melden, wenn ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person besteht. Bei reinen Auftragsbearbeiterverhältnissen unterstützt der Auftragsbearbeiter den Verantwortlichen mit Informationen innerhalb von **24 Stunden** ab Kenntniserlangung.
+---
+## Annex I — Liste der Parteien (Schweizer Anpassung)
+**Datenexporteur (Verantwortlicher / Auftragsbearbeiter — Schweiz)**:
+| Feld | Angabe |
+|------|--------|
+| Name / Firma | <…> |
+| Anschrift | <Strasse, PLZ, Ort, Schweiz> |
+| Handelsregister-Nr. | <CHE-Nr.> |
+| Kontaktperson | <…> |
+| EU-Vertreter (sofern anwendbar) | <…> |
+| Datenschutzberater (Art. 10 revDSG, freiwillig) | <…> |
+**Datenimporteur** (Drittland): wie in EU SCC Annex I.A.
+---
+## Annex II + III
+> **Verweis**: TOM-Katalog → `AVV-anhang-TOMs.md`; Sub-Auftragsverarbeiter-Liste → `AVV-anhang-Sub-Processor-List.md`.
+Mindest-Schutzniveau identisch mit EU-Standard; zusätzlich:
+- **Art. 8 revDSG (Datensicherheit)**: angemessene Massnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs und der Risiken.
+- **Art. 22 revDSG (DSFA)**: Bei hohem Risiko für Persönlichkeit oder Grundrechte ist Datenschutz-Folgenabschätzung durchzuführen — analog Art. 35 DSGVO.
+---
+## Schweizer Adäquanz-Liste (Stand: 2026)
+> Schweizer Anhang nicht erforderlich für Übermittlungen in folgende Länder mit Schweizer Angemessenheitsbeschluss (SR 235.11 Anhang 1):
+>
+> EWR-Staaten, Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada (für Empfänger mit kommerzieller Tätigkeit unter PIPEDA), Monaco, Neuseeland, Südkorea, UK, Uruguay.
+>
+> **USA**: Schweizer Pendant zum EU-US DPF — **Swiss-U.S. Data Privacy Framework** (in Kraft seit 15. September 2024) — aktive Zertifizierung erforderlich; Prüfung auf https://www.dataprivacyframework.gov.
+---
+## TIA für CH-Übermittlungen
+EDÖB-Empfehlung: TIA analog EDPB Recommendations 01/2020 durchführen, ergänzt um die Schweizer Bewertungs-Kriterien:
+1. Schutz juristischer Personen (für Altdaten vor 01.09.2023) berücksichtigen.
+2. Sensible Daten nach Art. 5 lit. c revDSG (administrative/strafrechtliche Sanktionen, Sozialhilfe) zusätzlich zu DSGVO Art. 9.
+3. EDÖB-Mitteilungen zur Drittlands-Übermittlung beachten (insb. zur Adequacy-Liste).
+---
+## Multi-Jurisdiction-Setup
+Beim Multi-Jurisdiktions-Vertrag (EU + UK + CH) gilt die folgende Hierarchie:
+1. **EU SCC 2021/914 Module 2** — primärer Klauselsatz für DSGVO-Übermittlungen.
+2. **UK IDTA Addendum** — Anpassung für UK GDPR-Übermittlungen (siehe `AVV-anhang-UK-IDTA.md`).
+3. **CH-Anhang (dieses Dokument)** — Anpassung für revDSG-Übermittlungen.
+Bei Konflikt zwischen den Anhängen gilt die jeweils strengste Schutzregel.
+---
+**Unterzeichnung**: gemeinsam mit den EU SCC; gesonderter Anhang bildet integralen Vertragsbestandteil.

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-SCC-module2-controller-processor.md ADDED Viewed

@@ -0,0 +1,180 @@
+# Anhang E — Standardvertragsklauseln (SCC) Modul 2 — Controller → Processor
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 (DSGVO).
+**Anwendungsfall**: Der Datenexporteur ist Verantwortlicher (Controller) im EU/EWR; der Datenimporteur ist Auftragsverarbeiter (Processor) in einem Drittland ohne Angemessenheitsbeschluss.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG. Vor Verwendung anwaltliche Prüfung empfohlen — insbesondere zum Transfer Impact Assessment (TIA) gemäß EDPB Recommendations 01/2020.
+---
+## Hinweis zur Verwendung
+Die SCC-Klauseln gemäß EU-Kommissionsbeschluss 2021/914 sind **wortwörtlich** zu übernehmen; ihr Wortlaut darf nicht verändert werden. Dieser Anhang ergänzt sie nur durch die ausgefüllten **Annexe I, II und III**, die Vertragsbestandteil werden. Das vollständige Klauselwerk ist abrufbar unter:
+https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
+**Klausel-Struktur Modul 2 — Übersicht**:
+| Klausel | Titel |
+|---------|-------|
+| Klausel 1 | Zweck und Geltungsbereich |
+| Klausel 2 | Wirkung und Unabänderlichkeit der Klauseln |
+| Klausel 3 | Drittbegünstigte |
+| Klausel 4 | Auslegung |
+| Klausel 5 | Hierarchie |
+| Klausel 6 | Beschreibung der Übermittlung |
+| Klausel 7 | Beitrittsklausel (Docking-Klausel — optional) |
+| Klausel 8 | Pflichten des Datenexporteurs / -importeurs (Modul 2) |
+| 8.1 | Anweisungen |
+| 8.2 | Zweckbindung |
+| 8.3 | Transparenz |
+| 8.4 | Richtigkeit |
+| 8.5 | Speicherbegrenzung & Löschung |
+| 8.6 | Sicherheit der Verarbeitung |
+| 8.7 | Sensible Daten |
+| 8.8 | Weiterleitung |
+| 8.9 | Dokumentation und Compliance |
+| Klausel 9 | Inanspruchnahme von Unterauftragsverarbeitern |
+| Klausel 10 | Rechte der betroffenen Personen |
+| Klausel 11 | Rechtsbehelfe |
+| Klausel 12 | Haftung |
+| Klausel 13 | Aufsicht |
+| Klausel 14 | Lokale Rechtsvorschriften und Verpflichtungen im Drittland |
+| Klausel 15 | Verpflichtungen bei Zugriffen durch Behörden |
+| 15.1 | Benachrichtigung |
+| 15.2 | Überprüfung der Rechtmäßigkeit & Datenminimierung |
+| Klausel 16 | Verstöße & Beendigung |
+| Klausel 17 | Anwendbares Recht |
+| Klausel 18 | Gerichtsstand und Zuständigkeit |
+| Anhang | Annex I.A (Parteien) / I.B (Beschreibung der Übermittlung) / I.C (Aufsichtsbehörde) / Annex II (TOMs) / Annex III (Sub-Auftragsverarbeiter) |
+---
+## Annex I — Liste der Parteien, Beschreibung der Übermittlung, Zuständige Aufsichtsbehörde
+### A. Liste der Parteien
+**Datenexporteur (Verantwortlicher)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Firma> |
+| Anschrift | <Straße, PLZ, Ort, Land> |
+| Kontaktperson Name, Funktion | <Name, Funktion> |
+| Kontakt Email & Telefon | <email>, <Telefon> |
+| Tätigkeiten relevant für die Daten-Übermittlung | <Beschreibung Verarbeitung Verantwortlicher> |
+| Unterschrift & Datum | <s. Hauptvertrag> |
+| Rolle (Controller/Processor) | Controller |
+**Datenimporteur (Auftragsverarbeiter)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Firma> |
+| Anschrift | <Straße, PLZ, Ort, Land> |
+| Kontaktperson Name, Funktion | <Name, Funktion> |
+| Kontakt Email & Telefon | <email>, <Telefon> |
+| Tätigkeiten relevant für die Daten-Übermittlung | <Beschreibung Verarbeitung Auftragsverarbeiter> |
+| Unterschrift & Datum | <s. Hauptvertrag> |
+| Rolle (Controller/Processor) | Processor |
+### B. Beschreibung der Übermittlung
+| Feld | Angabe |
+|------|--------|
+| Kategorien betroffener Personen | <z. B. Endkunden des Datenexporteurs, Mitarbeiter, Lieferanten, Website-Besucher> |
+| Kategorien personenbezogener Daten | <z. B. Stammdaten (Name, Anschrift, E-Mail), Vertragsdaten, Nutzungsdaten (IP, Zeitstempel), Kommunikationsdaten> |
+| Sensible Daten (Art. 9/10 DSGVO) | <keine / Beschreibung + zusätzliche Schutzmaßnahmen> |
+| Häufigkeit der Übermittlung | <kontinuierlich / einmalig / periodisch> |
+| Art der Verarbeitung | <Erhebung, Speicherung, Auslesen, Übermittlung, Löschung — entsprechend Art. 4 Nr. 2 DSGVO> |
+| Zweck(e) der Übermittlung | <z. B. Hosting des SaaS-Dienstes, Erbringung der vertraglichen Leistung> |
+| Speicherdauer | <Vertragsdauer + 30 Tage / nach gesetzlicher Aufbewahrungsfrist> |
+| Bei Sub-Auftragsverarbeitung: Gegenstand, Art, Dauer | <Beschreibung — siehe Annex III> |
+### C. Zuständige Aufsichtsbehörde
+Identifizierung gemäß Klausel 13:
+> Maßgebliche Aufsichtsbehörde nach Art. 51 DSGVO ist die Datenschutzaufsichtsbehörde des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
+>
+> **Zuständige Aufsichtsbehörde**: <z. B. Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, https://www.lda.bayern.de>
+>
+> Anschrift: <…>
+> Web: <…>
+>
+> *Bei Datenexporteuren ohne Niederlassung in der EU (Art. 3 Abs. 2 DSGVO i. V. m. Art. 27): Aufsichtsbehörde des Mitgliedstaats, in dem der EU-Vertreter benannt wurde.*
+---
+## Annex II — Technische und organisatorische Maßnahmen (TOMs)
+> **Verweis**: Vollständiger TOM-Katalog in `AVV-anhang-TOMs.md`. Die dortigen Maßnahmen werden Bestandteil dieses Annex II.
+**Zusammenfassung der Maßnahmen** (vom Datenimporteur ausgefüllt):
+| Kategorie | Maßnahmen (Kurzbeschreibung) |
+|-----------|------------------------------|
+| 1. Pseudonymisierung & Verschlüsselung | TLS ≥ 1.2 / 1.3 in transit; AES-256 at rest; Tokenisierung sensibler Daten |
+| 2. Vertraulichkeit (Zutritts-, Zugangs-, Zugriffs-, Trennungskontrolle) | RBAC + MFA + IAM-basierte Zugangskontrolle; Mandantentrennung; verschlüsselte Storage-Volumes |
+| 3. Integrität (Weitergabe-, Eingabe-Kontrolle) | Audit-Logs; Unterschriftliche Übergabeprotokolle; HMAC-/Signatur-basierte API-Authentifizierung |
+| 4. Verfügbarkeit & Belastbarkeit | Multi-AZ-Deployment; ≥99,9 % SLA; DDoS-Schutz; redundante Storage |
+| 5. Wiederherstellbarkeit | Tägliche Backups; Disaster-Recovery-Plan; RPO ≤ 24h, RTO ≤ 4h |
+| 6. Verfahren zur regelmäßigen Überprüfung | Jährliche Penetration-Tests; ISO 27001 / SOC 2 Type II; vierteljährliche Vulnerability-Scans |
+| 7. Anpassung der Maßnahmen | Risk-Assessment + TOMs-Review jährlich; Change-Management-Prozess |
+**Maßnahmen für Sub-Auftragsverarbeiter** (Klausel 8.7):
+> Sub-Auftragsverarbeiter werden vertraglich auf das gleiche Schutzniveau verpflichtet (siehe Annex III + AVV-anhang-Sub-Processor-List.md). Vor Beauftragung erfolgt Sicherheits-Due-Diligence (TOMs-Review, Zertifikate, Standortprüfung).
+---
+## Annex III — Liste der Sub-Auftragsverarbeiter
+Geltend nur bei Klausel 9(a) — allgemeine schriftliche Genehmigung.
+> **Verweis**: Vollständige Sub-Auftragsverarbeiter-Liste in `AVV-anhang-Sub-Processor-List.md`. Die dortige aktuelle Liste wird Bestandteil dieses Annex III.
+| Nr. | Name | Anschrift | Kontakt | Beschreibung der Verarbeitung | Standort |
+|-----|------|-----------|---------|------------------------------|----------|
+| 1 | <Sub-Auftragsverarbeiter A> | <Adresse> | <Email/DPO> | <Beschreibung — z. B. Hosting, CDN, E-Mail-Versand> | <Land> |
+| 2 | … | … | … | … | … |
+---
+## Optionale Klausel-Auswahl (Hinweise zur Konfiguration)
+**Klausel 7 (Docking-Clause)**: Bei mehrparteiigen Verarbeitungs-Verbünden zu aktivieren — erlaubt späteren Beitritt weiterer Parteien. Standard: nicht aktiviert.
+**Klausel 9 (Sub-Auftragsverarbeiter)**: Optionen
+- **Option 1 (spezifische Genehmigung)**: jeder Sub-Auftragsverarbeiter individuell zu genehmigen.
+- **Option 2 (allgemeine Genehmigung)**: Sub-Auftragsverarbeiter werden mit Mindest-Vorlaufzeit angekündigt; Widerspruchsrecht des Verantwortlichen.
+> Empfehlung: **Option 2 mit 30 Kalendertagen Vorlauf** (siehe § 6.2 des Hauptvertrags).
+**Klausel 11 (Rechtsbehelfe — Optional Independent Dispute Resolution)**: Beilegung über unabhängiges Schlichtungsorgan — selten gewählt; Standard: deaktiviert.
+**Klausel 17 (Anwendbares Recht)**:
+- **Option 1**: Recht eines EU-Mitgliedstaats, der Drittbegünstigtenrechte vorsieht (z. B. Deutschland, Frankreich, Niederlande).
+- **Option 2**: Recht des Mitgliedstaats des Datenexporteurs.
+> Empfehlung: Option 2 mit deutschem Recht.
+**Klausel 18 (Gerichtsstand)**:
+> Empfehlung: <Sitz des Datenexporteurs in Deutschland>.
+---
+## Transfer Impact Assessment (TIA) — Pflicht-Komponente
+Vor jeder Drittlands-Übermittlung ist ein TIA gemäß EDPB Recommendations 01/2020 durchzuführen und zu dokumentieren. Mindest-Inhalte:
+1. **Mapping**: welche Daten werden in welches Drittland übermittelt?
+2. **Bewertung der Rechtslage** im Drittland (FISA 702, Cloud Act, lokale Überwachungsgesetze, gerichtliche Rechtsschutzmöglichkeiten).
+3. **Zusätzliche Maßnahmen** ("Supplementary Measures"): technisch (Verschlüsselung, BYOK), vertraglich (Transparenzberichte, Anfechtungspflicht), organisatorisch (Pseudonymisierung, Zugangsbeschränkung).
+4. **Restrisiko-Bewertung** und Entscheidungsdokumentation (Übermittlung zulässig / aussetzen / Empfänger wechseln).
+5. **Re-Evaluation**: bei Rechtsänderungen, mindestens jährlich.
+> TIA-Vorlage und Dokumentation: separat, nicht Teil dieses Anhangs.
+---
+**Unterzeichnung**: erfolgt im Rahmen des Hauptvertrags / AVV; gesonderte Unterschrift dieses Annex nicht erforderlich, sofern die SCC durch Verweis als Vertragsbestandteil eingebunden sind.

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-SCC-module3-processor-subprocessor.md ADDED Viewed

@@ -0,0 +1,144 @@
+# Anhang E2 — Standardvertragsklauseln (SCC) Modul 3 — Processor → Sub-Processor
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021.
+**Anwendungsfall**: Der Datenexporteur ist Auftragsverarbeiter (Processor) im EU/EWR; der Datenimporteur ist Sub-Auftragsverarbeiter (Sub-Processor) in einem Drittland ohne Angemessenheitsbeschluss. Die Übermittlung erfolgt mit Genehmigung des ursprünglichen Verantwortlichen (Controller) gemäß Art. 28 Abs. 4 DSGVO.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG. Vor Verwendung anwaltliche Prüfung empfohlen.
+---
+## Hinweis zur Verwendung
+Modul 3 ist anwendbar, wenn der Datenexporteur selbst nur Auftragsverarbeiter ist (z. B. Hosting-Provider, der einen CDN- oder Email-Sub-Auftragsverarbeiter in einem Drittland einsetzt). Das Modul stellt sicher, dass die Pflichten des ursprünglichen Verantwortlichen entlang der Verarbeitungskette weitergegeben werden.
+**Schlüssel-Unterschiede zu Modul 2**:
+- Klausel 8.1 (Anweisungen) — Anweisungen werden vom Verantwortlichen über den Datenexporteur weitergegeben.
+- Klausel 8.5 (Speicherbegrenzung) — Löschung/Rückgabe richtet sich nach Anweisungen des Verantwortlichen.
+- Klausel 8.9 (Dokumentation und Compliance) — Audit-Rechte des Verantwortlichen werden dem Sub-Auftragsverarbeiter ausdrücklich zugesprochen.
+- Klausel 9 (Sub-Auftragsverarbeiter weiter unten in der Kette) — analoge Genehmigungspflichten, Anzeige beim Verantwortlichen.
+- Klausel 10–11 (Rechte der betroffenen Personen / Rechtsbehelfe) — Drittbegünstigtenrechte gegenüber Sub-Auftragsverarbeiter.
+**Vollständiges Klauselwerk**: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj — die Klauseln sind wortwörtlich zu übernehmen.
+---
+## Annex I — Liste der Parteien, Beschreibung der Übermittlung, Zuständige Aufsichtsbehörde
+### A. Liste der Parteien
+**Datenexporteur (Auftragsverarbeiter — Processor)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Auftragsverarbeiter — Firma> |
+| Anschrift | <…> |
+| Kontaktperson Name, Funktion | <Name, Funktion> |
+| Kontakt Email & Telefon | <…> |
+| Tätigkeiten relevant für die Daten-Übermittlung | <Beschreibung der eigenen Verarbeitung im Auftrag des Verantwortlichen> |
+| Unterschrift & Datum | <s. Vertrag mit Sub-Auftragsverarbeiter> |
+| Rolle | Processor (im Verhältnis zum Verantwortlichen) |
+**Datenimporteur (Sub-Auftragsverarbeiter — Sub-Processor)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Sub-Auftragsverarbeiter — Firma> |
+| Anschrift | <…> |
+| Kontaktperson Name, Funktion | <Name, Funktion> |
+| Kontakt Email & Telefon | <…> |
+| Tätigkeiten relevant für die Daten-Übermittlung | <Beschreibung der Sub-Verarbeitung — z. B. CDN, E-Mail-Versand, Bilderkennung-API> |
+| Unterschrift & Datum | <…> |
+| Rolle | Sub-Processor |
+**Ursprünglicher Verantwortlicher (Controller — informativ)**:
+| Feld | Angabe |
+|------|--------|
+| Name | <Controller — Firma; Endkunde des Datenexporteurs> |
+| Anschrift | <…> |
+| Verweis auf Hauptvertrag | <AVV zwischen Controller und Processor — Datum> |
+> *Der Controller ist nicht Vertragspartei der Modul-3-SCC, ihm stehen jedoch Drittbegünstigtenrechte nach Klausel 3 zu.*
+### B. Beschreibung der Übermittlung
+| Feld | Angabe |
+|------|--------|
+| Kategorien betroffener Personen | <…> |
+| Kategorien personenbezogener Daten | <…> |
+| Sensible Daten (Art. 9/10 DSGVO) | <…> |
+| Häufigkeit der Übermittlung | <…> |
+| Art der Verarbeitung | <…> |
+| Zweck(e) der Übermittlung | <z. B. Bereitstellung Subdienstleistung — CDN-Caching, Email-Delivery, Push-Notifications> |
+| Speicherdauer | <…> |
+| Bei weiteren Sub-Sub-Auftragsverarbeitern: Beschreibung | <… / nicht zutreffend> |
+### C. Zuständige Aufsichtsbehörde
+> Maßgebliche Aufsichtsbehörde nach Art. 51 DSGVO ist die Datenschutzaufsichtsbehörde des Mitgliedstaats, in dem der **ursprüngliche Verantwortliche (Controller)** niedergelassen ist.
+>
+> **Zuständige Aufsichtsbehörde**: <z. B. BayLDA, Promenade 18, 91522 Ansbach, https://www.lda.bayern.de>
+>
+> Anschrift: <…>
+> Web: <…>
+---
+## Annex II — Technische und organisatorische Maßnahmen (TOMs)
+> **Verweis**: Vollständiger TOM-Katalog in `AVV-anhang-TOMs.md`. Die TOMs des Sub-Auftragsverarbeiters müssen mindestens das Niveau der TOMs zwischen Controller und Processor erreichen.
+| Kategorie | Mindest-Maßnahmen Sub-Auftragsverarbeiter |
+|-----------|-------------------------------------------|
+| 1. Pseudonymisierung & Verschlüsselung | TLS ≥ 1.2; AES-256 at rest |
+| 2. Vertraulichkeit | RBAC + MFA, mandantenfähige Trennung |
+| 3. Integrität | Signierte API-Calls, Audit-Logs ≥ 90 Tage |
+| 4. Verfügbarkeit | ≥ 99,9 % SLA |
+| 5. Wiederherstellbarkeit | RPO ≤ 24h, RTO ≤ 4h |
+| 6. Regelmäßige Überprüfung | ISO 27001 oder SOC 2 Type II zertifiziert |
+| 7. Anpassung der Maßnahmen | Jährliches Review + Change-Management |
+---
+## Annex III — Liste der weiteren Sub-Auftragsverarbeiter (Sub-Sub-Processor-Chain)
+Falls der Sub-Auftragsverarbeiter selbst weitere Sub-Auftragsverarbeiter einsetzt, sind diese hier zu listen — mit Genehmigung über die gesamte Vertragskette zurück zum Verantwortlichen.
+| Nr. | Name | Anschrift | Beschreibung der Verarbeitung | Standort | Genehmigung erteilt am |
+|-----|------|-----------|------------------------------|----------|------------------------|
+| 1 | <…> | <…> | <…> | <…> | <Datum> |
+---
+## Konfigurations-Hinweise (Modul 3 spezifisch)
+**Klausel 8.1 (Anweisungen)**:
+- Anweisungen werden vom Datenexporteur (Processor) weitergegeben — Beruhend auf Anweisungen des ursprünglichen Verantwortlichen.
+- Der Sub-Auftragsverarbeiter darf direkte Weisungen des ursprünglichen Verantwortlichen nur entgegennehmen, wenn der Datenexporteur dem zustimmt.
+**Klausel 8.9 (Audit)**:
+- Audits können sowohl vom Datenexporteur (Processor) als auch — über den Datenexporteur — vom ursprünglichen Verantwortlichen durchgeführt werden.
+- Die Sub-Sub-Auftragsverarbeiter-Kette muss audit-zugänglich sein.
+**Klausel 9 (weitere Sub-Auftragsverarbeiter)**:
+- Hinzuziehung erfordert vorherige Genehmigung des Datenexporteurs UND — durch Weitergabe — des ursprünglichen Verantwortlichen.
+- Vorlauffrist und Widerspruchsrecht entsprechend AVV zwischen Controller und Processor.
+**Klausel 16 (Beendigung)**:
+- Bei Verstoß durch den Sub-Auftragsverarbeiter kann der Datenexporteur die Übermittlung aussetzen.
+- Der ursprüngliche Verantwortliche kann den Datenexporteur auffordern, die Übermittlung auszusetzen.
+---
+## Transfer Impact Assessment (TIA) — Pflicht
+TIA für jeden Sub-Auftragsverarbeiter mit Drittlandbezug separat erforderlich. Insbesondere zu prüfen:
+- Aggregations-Risiko: führt die Sub-Verarbeitung zu zusätzlicher Drittlandsexposition über die ursprüngliche Übermittlung hinaus?
+- Gerichtsbarkeits-Kollision: unterliegt der Sub-Auftragsverarbeiter zusätzlichen Drittland-Überwachungsgesetzen?
+- Supplementary Measures: BYOK / Schlüsseltrennung / Pseudonymisierung an der Schnittstelle Processor → Sub-Processor.
+---
+**Unterzeichnung**: erfolgt im Rahmen des Vertrags zwischen Datenexporteur (Auftragsverarbeiter) und Datenimporteur (Sub-Auftragsverarbeiter). Der ursprüngliche Verantwortliche erhält Kopie zur Akte.

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-Sub-Processor-List.md ADDED Viewed

@@ -0,0 +1,114 @@
+# Anhang C — Sub-Auftragsverarbeiter-Liste (Versioniertes Template)
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Art. 28 Abs. 2, 4 DSGVO; § 6 AVV (siehe `AVV-standard-DE.md`).
+**Anwendungsfall**: Anhang C des AVV; zugleich Annex III der EU SCC 2021/914 Module 2 / 3.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG. Diese Liste ist Vertragsbestandteil und muss bei jeder Änderung dem Verantwortlichen mit Vorlauffrist angekündigt werden (§ 6.2 AVV).
+---
+## Versionierung
+| Version | Datum | Autor | Änderung | Genehmigt durch Verantwortlichen am |
+|---------|-------|-------|----------|-------------------------------------|
+| v1.0 | <YYYY-MM-DD> | <Name> | Initialfassung | <Datum / N/A bei Erst-Genehmigung> |
+| v1.1 | <YYYY-MM-DD> | <Name> | Hinzufügen Sub-Processor X (CDN-Wechsel) | <Datum> |
+| v1.2 | <YYYY-MM-DD> | <Name> | Entfernung Sub-Processor Y (Vertrag beendet) | <Datum> |
+**Aktuelle Version**: v<X.Y> vom <Datum>
+**Nächste planmäßige Aktualisierung**: <Datum / "auf Änderungs-Anlass">
+**Veröffentlichungsort**: <interner Pfad / Vendor-Portal / Email an `dsb@<verantwortlicher>.de`>
+---
+## Aktive Sub-Auftragsverarbeiter
+| Nr. | Name | Adresse / Land | Kontakt (DPO/email) | Verarbeitungs-Tätigkeit | Datenkategorien | Standort der Verarbeitung | Drittland-Garantie | Beauftragt seit | Genehmigt durch Verantwortlichen am |
+|-----|------|----------------|---------------------|-------------------------|-----------------|---------------------------|---------------------|-----------------|-------------------------------------|
+| 1 | <z. B. Amazon Web Services EMEA SARL> | <38 Avenue John F. Kennedy, L-1855 Luxembourg> | <aws-EU-privacy@amazon.com> | Cloud-Hosting (EC2, RDS, S3, IAM) | Stammdaten, Vertragsdaten, Nutzungsdaten, Backup-Daten | EU (Frankfurt eu-central-1) | EU (kein Drittland) | <YYYY-MM-DD> | <YYYY-MM-DD> |
+| 2 | <z. B. Cloudflare, Inc.> | <101 Townsend Street, San Francisco, CA 94107, USA> | <dpo@cloudflare.com> | CDN, DNS, DDoS-Schutz, WAF | IP-Adressen, Request-Metadaten, optional TLS-terminierte Inhalte | USA + globale Edge | EU SCC 2021/914 Modul 3 + DPF Zertifizierung | <YYYY-MM-DD> | <YYYY-MM-DD> |
+| 3 | <z. B. Stripe Payments Europe Ltd> | <The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland> | <privacy@stripe.com> | Payment-Verarbeitung | Zahlungsdaten (über Stripe Elements; PSP eigenverantwortlich) | EU + USA | EU SCC + DPF + PCI-DSS | <YYYY-MM-DD> | <YYYY-MM-DD> |
+| 4 | <z. B. Sendgrid (Twilio Inc.)> | <889 Winslow Street, Redwood City, CA 94063, USA> | <privacy@twilio.com> | E-Mail-Versand (Transactional Mail) | Email-Adressen, Mail-Inhalte | USA | EU SCC + DPF | <YYYY-MM-DD> | <YYYY-MM-DD> |
+| 5 | <…> | <…> | <…> | <…> | <…> | <…> | <…> | <…> | <…> |
+---
+## Beendete Sub-Auftragsverarbeiter (Archiv — letzte 24 Monate)
+> Pflicht zur Dokumentation aufgrund Audit-Trail; nach 24 Monaten archivierbar.
+| Nr. | Name | Beauftragt von – bis | Grund der Beendigung | Datenrückgabe / Löschung erfolgt am | Lösch-Zertifikat |
+|-----|------|----------------------|---------------------|-------------------------------------|------------------|
+| 1 | <Sub-Processor Z> | <YYYY-MM-DD> – <YYYY-MM-DD> | <Vertragsablauf / Vendor-Wechsel / Compliance-Mangel> | <YYYY-MM-DD> | <Anhang Z im Audit-Ordner> |
+---
+## Pending — Avisierte Sub-Auftragsverarbeiter (in Genehmigungs-Verfahren)
+> Bei laufendem 30-Tages-Vorlauf (§ 6.2 AVV) hier abbilden.
+| Nr. | Name | Adresse | Verarbeitungs-Tätigkeit | Geplanter Start | Mitteilung an Verantwortlichen am | Widerspruchsfrist endet | Status |
+|-----|------|---------|-------------------------|-----------------|----------------------------------|------------------------|--------|
+| 1 | <…> | <…> | <…> | <YYYY-MM-DD> | <YYYY-MM-DD> | <YYYY-MM-DD> | <pending / objected / approved> |
+---
+## Konzern-interne Dienstleister (informativ)
+> Konzern-Privileg nach § 6.7 AVV: konzern-interne Dienstleister sind keine Sub-Auftragsverarbeiter im engeren Sinne; gleichwohl Transparenz-Pflicht.
+| Nr. | Name | Konzern-Verhältnis | Tätigkeit | Standort |
+|-----|------|--------------------|-----------|----------|
+| 1 | <z. B. <Auftragsverarbeiter> Inc. (US-Mutter)> | 100 % Mutter | Tier-3-Support, On-Call | USA |
+| 2 | <…> | <…> | <…> | <…> |
+---
+## Pflichtangaben pro Sub-Auftragsverarbeiter (Checkliste)
+Bei jedem Listing sind folgende Angaben zwingend:
+- ☐ Voller Firmenname inkl. Rechtsform
+- ☐ Vollständige Anschrift (Sitz)
+- ☐ Datenschutz-Kontakt (DPO oder Privacy-Email)
+- ☐ Beschreibung der Verarbeitung (Tätigkeit + Datenkategorien)
+- ☐ Standort der Verarbeitung (mind. Land + Region)
+- ☐ Drittland-Garantie (Adäquanz / SCC / DPF / BCR / Ausnahme nach Art. 49)
+- ☐ Vertragsbeginn-Datum
+- ☐ TOM-Niveau bestätigt (mindestens äquivalent zu eigenem TOM-Katalog)
+- ☐ Sicherheits-Zertifikate (ISO 27001 / SOC 2 / etc.) — Verweis oder PDF im Vendor-Ordner
+---
+## Genehmigungs-Workflow (Workflow-Hinweis)
+1. **Avisierung** durch Auftragsverarbeiter an `dsb@<verantwortlicher>.de` — 30 Tage Vorlauf (§ 6.2 AVV).
+2. **Prüfung** durch Verantwortlichen — Datenschutz-Due-Diligence:
+   - TOM-Niveau-Vergleich
+   - Drittland-Risiko-Bewertung (TIA bei Drittland)
+   - Sub-Processor-Vertragsentwurf (Auftragsverarbeitung Art. 28 Abs. 4)
+3. **Entscheidung** binnen 14 Tagen — Zustimmung / begründeter Widerspruch.
+4. **Update** der Liste auf neue Version; alle Vertragsparteien erhalten Notification.
+5. **Effektiv-Datum** frühestens 30 Tage nach Avisierung, sofern kein Widerspruch.
+---
+## Notification-Mechanismus (zu wählen)
+> Wie kündigt der Auftragsverarbeiter Änderungen an? Mehrfach-Auswahl möglich.
+- ☐ Email an `dsb@<verantwortlicher>.de`
+- ☐ RSS-Feed / Atom-Feed mit Subscribe-URL: <…>
+- ☐ Vendor-Portal mit Audit-Trail: <URL>
+- ☐ Webhook-Notification an URL des Verantwortlichen: <…>
+- ☐ Veröffentlichung auf öffentlicher Sub-Processor-Page: <URL> (zusätzlich Email-Notification)
+---
+**Verantwortlich für die Pflege dieser Liste**:
+> <Datenschutzbeauftragter Auftragsverarbeiter — Name + Email>
+**Audit-Recht**:
+Der Verantwortliche kann jederzeit die aktuelle Liste anfordern + die Pflege-Prozesse auditieren (siehe § 8 AVV / Anhang D Audit-Klausel-Varianten).