Zum Inhalt springen
TeamVis Doku

Compliance

Das Compliance-Modul beantwortet eine Frage: „Sind alle Pflichtrollen, die wir laut DSGVO / DVGW / ISO / BNetzA besetzen müssen, tatsächlich auf konkrete Stellen abgebildet?”

Frameworks

Standardmäßig mitgeliefert:

FrameworkPflicht für
DSGVO / BDSGalle Organisationen
DVGW G 1000 / W 1000Gas- und Wasserversorger
ISO 9001Qualitätsmanagement (optional)
ISO/IEC 27001ISMS-Hauptnorm
ISO/IEC 27002Maßnahmenkatalog (begleitend)
ISO/IEC 27019ISMS-Erweiterung Energie
IT-Sicherheitskatalog (BNetzA, §5c EnWG)Strom-/Gasnetzbetreiber

Frameworks werden als YAML im Repo gepflegt (compliance/frameworks/*.yaml). Eigene Frameworks (z.B. branchenspezifische Regelwerke) können einfach als zusätzliche YAML-Datei ergänzt werden.

Aktivierung

Verwaltung → Compliance zeigt alle verfügbaren Frameworks. Klick auf „Aktivieren” macht sie für die Organisation sichtbar. Nicht-aktivierte Frameworks tauchen nicht im Gap-Report auf.

Rollen-Bindings anlegen

Pro aktiviertem Framework klickst du auf „Rollen zuweisen”. Dort ordnest du jede Pflichtrolle (z.B. „Informationssicherheits- beauftragter (ISB)”) einer Stelle im Organigramm zu.

Wichtig: nicht einer Person — einer Stelle. Wenn die Stelle neu besetzt wird, ist die Rolle automatisch korrekt.

Optional pro Binding:

  • appointed_on — Bestellungsdatum (z.B. „bestellt zum 1.1.2024”)
  • appointment_valid_to — Bestellung läuft aus (für Re-Bestellung notwendig)
  • Notizen

Gap-Report

Oben auf der Compliance-Seite vier Zähler:

  1. Pflichtrollen unbesetztrequired: true ohne Binding
  2. Optionale Rollen offenrequired: false ohne Binding
  3. Bestellungen abgelaufenappointment_valid_to < heute
  4. Laufen in 90 Tagen ausappointment_valid_to < heute + 90

Solange alle vier auf 0 stehen, ist die Compliance-Lage „im grünen Bereich” — abgebildet, dokumentiert, nachvollziehbar.

Stolperfallen

  • „Alle besetzt” heißt nicht „alle qualifiziert”. Die YAML-Frameworks listen Qualifikations-Anforderungen (z.B. „IT-Sicherheits-Schulung”) als Information — TeamVis prüft sie nicht automatisch. Das ist Sache des Compliance- Beauftragten beim Audit.
  • Rollen sind nicht Personen: ein:e MA kann mehrere Rollen innehaben (Stelle besetzt mehrere Bindings). Im Gap-Report zählt das als „besetzt”, auch wenn die Person überlastet ist.
  • YAML-Bearbeitung erfordert Deploy: Anpassungen am Framework-Inhalt selbst (Rollen, Dokumente) sind versioniert im Repo — Aktualisierungen kommen mit dem nächsten TeamVis-Update.