feat: DSGVO Compliance Dokumentation

📋 Dokumente:
- DSGVO.md - Technische & organisatorische Maßnahmen
- privacy-policy.md - Datenschutzerklärung
- avv-template.md - Auftragsverarbeitungsvertrag

✅ Abgedeckt:
- Art. 15-22: Betroffenenrechte
- Art. 28: Auftragsverarbeitung
- Art. 30: Verarbeitungsverzeichnis
- Art. 32: Technische Maßnahmen

🔒 Löschkonzept inkludiert

legal/avv-template.md

@@ -0,0 +1,148 @@
+# Auftragsverarbeitungsvertrag (AVV)
+
+gemäß Art. 28 DSGVO
+
+## Zwischen
+
+**Auftraggeber (Verantwortlicher):**  
+[Kunde]  
+[Adresse]  
+(nachfolgend "Auftraggeber")
+
+**und**
+
+**Auftragnehmer (Auftragsverarbeiter):**  
+Kronos Solution  
+[Adresse]  
+(nachfolgend "Auftragnehmer")
+
+---
+
+## § 1 Gegenstand und Dauer
+
+(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung von **Pulse CRM**.
+
+(2) Die Dauer richtet sich nach der Laufzeit des Hauptvertrags (Nutzungsvertrag Pulse CRM).
+
+## § 2 Art und Zweck der Verarbeitung
+
+**Zweck:** Customer Relationship Management (Verwaltung von Kontakten, Deals, Aktivitäten)
+
+**Art der Verarbeitung:**
+- Speicherung
+- Abruf
+- Änderung
+- Löschung
+
+## § 3 Art der Daten
+
+- Kontaktdaten (Name, E-Mail, Telefon, Adresse)
+- Firmendaten
+- Kommunikationshistorie
+- Geschäftliche Informationen (Deals, Notizen)
+
+## § 4 Kategorien betroffener Personen
+
+- Kunden des Auftraggebers
+- Interessenten
+- Ansprechpartner bei Geschäftspartnern
+
+## § 5 Pflichten des Auftragnehmers
+
+(1) Der Auftragnehmer verarbeitet die Daten nur gemäß den Weisungen des Auftraggebers.
+
+(2) Der Auftragnehmer gewährleistet:
+- Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)
+- Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
+- Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)
+- Unterstützung bei Datenschutz-Folgenabschätzung (Art. 28 Abs. 3 lit. f DSGVO)
+- Löschung nach Auftragsende (Art. 28 Abs. 3 lit. g DSGVO)
+- Nachweise und Audits (Art. 28 Abs. 3 lit. h DSGVO)
+
+## § 6 Unterauftragnehmer
+
+Der Auftragnehmer setzt folgende Unterauftragnehmer ein:
+
+| Unterauftragnehmer | Leistung | Standort |
+|--------------------|----------|----------|
+| Hetzner Online GmbH | Hosting | Deutschland |
+| Resend Inc. | E-Mail-Versand | EU |
+
+Änderungen werden dem Auftraggeber mitgeteilt.
+
+## § 7 Technische und organisatorische Maßnahmen
+
+Der Auftragnehmer hat folgende Maßnahmen implementiert:
+
+### Vertraulichkeit
+- Zugangs- und Zutrittskontrolle
+- Berechtigungskonzept (RBAC)
+- Verschlüsselung (TLS 1.3, AES-256)
+
+### Integrität
+- Eingabekontrolle (Audit-Logs)
+- Weitergabekontrolle
+
+### Verfügbarkeit
+- Backup-Konzept
+- Wiederherstellbarkeit
+
+### Belastbarkeit
+- DDoS-Schutz
+- Redundante Systeme
+
+## § 8 Kontrollrechte
+
+Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags zu überprüfen:
+- Durch schriftliche Auskünfte
+- Durch Vor-Ort-Audits (mit Ankündigung)
+- Durch Zertifikate und Berichte
+
+## § 9 Mitteilungspflichten
+
+Der Auftragnehmer informiert den Auftraggeber unverzüglich bei:
+- Datenschutzverletzungen (Art. 33 DSGVO)
+- Änderungen bei Unterauftragnehmern
+- Anfragen von Betroffenen
+- Anfragen von Behörden
+
+## § 10 Beendigung
+
+Nach Beendigung des Hauptvertrags:
+- Löschung aller Daten innerhalb von 30 Tagen
+- Auf Wunsch: Datenexport vor Löschung
+- Nachweis der Löschung auf Anfrage
+
+## § 11 Schlussbestimmungen
+
+(1) Dieser Vertrag unterliegt deutschem Recht.
+
+(2) Änderungen bedürfen der Schriftform.
+
+(3) Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.
+
+---
+
+**Auftraggeber:**
+
+Ort, Datum: _____________________
+
+Unterschrift: _____________________
+
+Name: _____________________
+
+---
+
+**Auftragnehmer:**
+
+Ort, Datum: _____________________
+
+Unterschrift: _____________________
+
+Name: _____________________
+
+---
+
+## Anlage 1: Technische und organisatorische Maßnahmen (TOM)
+
+Siehe: `/docs/DSGVO.md` Abschnitt "Technische Maßnahmen"