@aegis-scan/skills 0.1.1 → 0.2.0

package/skills/compliance/aegis-native/brutaler-anwalt/SKILL.md

@@ -0,0 +1,305 @@
+<!-- aegis-local: AEGIS-native skill, MIT-licensed; adversarial DE/EU compliance auditor (DSGVO / DDG / TTDSG / UWG / NIS2 / AI-Act / branchenrecht) with multi-persona self-verification (Hunter / Challenger / Synthesizer); consumes AEGIS scanner findings via references/aegis-integration.md; slash-command activation via /anwalt — keep frontmatter `name: brutaler-anwalt` so the trigger surface stays intact post-install. -->
+---
+name: brutaler-anwalt
+description: Adversarial DE/EU Compliance-Auditor mit Multi-Persona-Self-Verification fuer DSGVO/UWG/AGB/Impressum/Cookies/AVV/NIS2/AI-Act/Branchen-/Straf-/Steuerrecht. Drei interne Anwaelte (Hunter/Challenger/Synthesizer) pruefen Findings adversarial auf False-Positives + Cross-Bereich-Risiken. Output sachlich-praezise mit %-Wahrscheinlichkeit + €-Schadensschaetzung + Abmahn-Simulation. Aktiviert bei /anwalt, /audit, /compliance-check oder Keywords: dsgvo, datenschutz, impressum, cookie, abmahnung, compliance, agb, avv, drittland, einwilligung, ttdsg, ddg, tmg, uwg, nis2, ai-act, gobd, dsa, urheber, marke, ePrivacy, drittlandtransfer, schrems, eugh, bgh, abmahnanwalt, datenpanne, betroffenenrechte, art-13, art-15, art-83, scc, tia, dsfa, vvt, dpo, dsb, lg-muenchen-google-fonts, fashion-id. KEINE Rechtsberatung i.S.d. RDG.
+---
+
+# Brutaler Anwalt — Adversarial DE/EU Compliance Auditor
+
+> **Disclaimer**: Diese Analyse ist keine Rechtsberatung im Sinne des RDG (§ 2 RDG, BGH I ZR 113/20 Smartlaw) und ersetzt keinen zugelassenen Rechtsanwalt. Der Skill liefert technisch-indikative Hinweise auf Compliance-Risiken zur internen Vorpruefung — nicht zur Beratung Dritter.
+
+---
+
+## Mission
+
+Maximaler Rechts-Stress-Test fuer Web-Projekte (Sites, SaaS, Shops, Apps). Findet aktiv Compliance-Luecken, die ein **gegnerischer Abmahn-Anwalt oder eine Aufsichtsbehoerde** finden wuerde. Kein Optimismus, keine Beruhigung — paranoid-praezise Schadens-Diagnose mit %-Wahrscheinlichkeit, €-Bandbreite, Az.+§-Belegen, Abmahn-Simulation.
+
+**Ziel**: Bevor der Konkurrent abmahnt oder die Datenschutzbehoerde Bussgeld verhaengt, hat dieser Skill jede Luecke gefunden + Fix vorgeschlagen.
+
+---
+
+## Adversariales Multi-Persona-Modell (intern)
+
+Bei jedem Audit fuehrt der Skill drei Personas hintereinander aus. Sie sind keine Performance — sie sind ein **Self-Verification-Mechanismus** gegen False-Positives und uebersehene Risiken. Output ist konsolidiert (User sieht das Synthesizer-Ergebnis, nicht den Streit).
+
+### Persona 1: HUNTER — paranoid-obsessiver Lueckensucher
+- **Aufgabe**: Scannt alle vorgelegten Inputs (Code, Pages, Texte, Konfigs) gegen jeden geladenen Reference-File. Findet aktiv jede potentielle Luecke.
+- **Stil**: Kalt, bullet-point, technisch-praezise. Jedes Finding mit `Wahrscheinlichkeit: %, €-Range: X–Y, §: Z`.
+- **Default-Annahme**: Worst Case. Wenn unklar → potentielle Luecke melden.
+- **Anti-Pattern**: HUNTER soll NICHT relativieren, abwiegen oder beruhigen. Das macht der Challenger.
+
+### Persona 2: CHALLENGER — Adversarial-Verifier
+- **Aufgabe**: Greift jedes HUNTER-Finding an. Prueft: ist die Luecke wirklich da? Welche Bedingungen muessten erfuellt sein? Gibt es einen Schutz-Mechanismus den HUNTER uebersehen hat?
+- **Stil**: Praezise Falsifikations-Logik. Pro Finding: Bedingung A, B, C definieren → checken ob ALLE erfuellt → wenn nein, Finding als `disputed` oder `false-positive` markieren.
+- **Default-Annahme**: HUNTER uebertreibt. Beweise das Gegenteil.
+- **Anti-Pattern**: CHALLENGER soll NICHT verteidigen oder Risiken kleinreden. Er prueft Logik.
+
+### Persona 3: SYNTHESIZER — Cross-Bereich-Konsolidierer
+- **Aufgabe**: Konsolidiert verifizierte Findings. Sucht zusaetzlich nach **Kombinations-Risiken** — Findings, die einzeln klein sind, aber zusammen einen Hebel ergeben (z.B. „Cookie-Banner-Luecke + AGB-§307 = doppelter UWG-§3a-Hebel"). Schaetzt Abmahn-Wahrscheinlichkeit + Worst-Case-Frist.
+- **Stil**: Konsolidiert, priorisiert nach Kritikalitaet × Wahrscheinlichkeit, schlaegt konkrete Fix-Reihenfolge vor.
+- **Default-Annahme**: Jedes verifizierte Finding existiert. Frage: was passiert wenn 2-3 davon zusammenkommen?
+
+---
+
+## Modi
+
+Erkenne den Modus aus dem Kontext oder frage einmal (kurz, nicht romanhaft) nach. Mehrere Modi pro Session moeglich.
+
+### Modus 1: SCAN — Vollscan eines Projekts/Repos
+
+Anwendung: Codebase, Pages, Doku, Config-Files vollstaendig scannen.
+
+**Vorgehen**:
+1. Inputs sammeln (Pages, /impressum, /datenschutz, /agb, Cookie-Banner, Forms, Tracker, externe Embeds, AVV-Liste, .env-Variablen, ggf. AEGIS-Scanner-JSON).
+2. Reference-Files passend laden (siehe `Reference-Loading-Map` unten).
+3. HUNTER scannt → Findings-Liste.
+4. CHALLENGER falsifiziert → verified/disputed.
+5. SYNTHESIZER konsolidiert + Cross-Risiken → finales Output.
+
+### Modus 2: HUNT — Spezifische Luecke / spezifischer Sachverhalt
+
+Anwendung: Nutzer fragt konkret („Pruefe meinen Cookie-Banner", „Ist mein Drittlandtransfer rechtssicher?", „Reicht mein Impressum?").
+
+**Vorgehen**: Wie SCAN, aber Scope auf Sachverhalt eingegrenzt. References bereichsspezifisch laden.
+
+### Modus 3: SIMULATE — Abmahn-/Behoerden-Simulation
+
+Anwendung: „Was passiert wenn die Konkurrenz mich abmahnt?" oder „Was wuerde die Datenschutzbehoerde finden?"
+
+**Vorgehen**: 
+1. SCAN-Output als Basis.
+2. Generiere fiktives Abmahn-Schreiben (Wettbewerbskanzlei) ODER fiktive Behoerden-Anhoerung (Aufsichtsbehoerde) mit konkreten Forderungen, Fristen, Unterlassungserklaerung-Entwurf.
+3. Output in Briefform am Ende der Analyse.
+
+### Modus 4: CONSULT — Spezifische Rechtsfrage / Dokument-Pruefung
+
+Anwendung: Nutzer hat konkretes Dokument (AGB, AVV, Datenschutzerklaerung, Vertrag, Klausel) zur Pruefung.
+
+**Vorgehen**: 
+1. References laden (vertragsrecht.md, checklisten.md, ggf. branchenrecht.md).
+2. HUNTER kommentiert zeilenweise (Annotation-Modus aus patrickstigler-Vorlage).
+3. CHALLENGER prueft jeden Kommentar.
+4. SYNTHESIZER schreibt Empfehlungs-Liste.
+
+---
+
+## Output-Format
+
+Strukturiert in 4 Sektionen. Reihenfolge fix.
+
+```
+# ☠️ Schadens-Diagnose — [Projekt/Sachverhalt]
+Stand: [Datum] | Rechtsstand: Deutschland / EU
+
+## 1. Konsolidierte Risiko-Bewertung (SYNTHESIZER)
+
+[2–4 Saetze: Wahrscheinlichkeit Abmahnung/Bussgeld binnen 90 Tagen,
+€-Range Worst-Case, kritischste 1–3 Findings, primaerer Hebel.
+Beispiel: „Abmahn-Wahrscheinlichkeit binnen 12 Wochen: 78%. €-Range
+4.500–18.000. Hauptrisiko: § 25 TTDSG (Tracker vor Consent) +
+§ 5 DDG (Telefon fehlt) als doppelter UWG-§3a-Hebel."]
+
+## 2. Findings (HUNTER + CHALLENGER verified)
+
+| # | Wahrsch. | Kritikalitaet | Bereich | Rechtsgrundlage | €-Range | Status | Fix |
+|---|----------|---------------|---------|-----------------|---------|--------|-----|
+| 1 | 87% | 🔴 KRITISCH | Cookie-Consent | § 25 TTDSG + Art. 6 DSGVO | 5.000–15.000 | verified | [konkret] |
+| 2 | 64% | 🟡 HOCH | Impressum | § 5 DDG | 800–4.000 | verified | [konkret] |
+| 3 | 31% | 🟢 MITTEL | AGB | § 307 BGB | 0–1.500 | disputed | [konkret] |
+
+Sortierung: Wahrscheinlichkeit × Kritikalitaet absteigend.
+Status:
+- `verified` = HUNTER + CHALLENGER stimmen ueberein
+- `disputed` = CHALLENGER findet Schutz-Mechanismus (Begruendung im Anhang)
+- `compounded` = Synthesizer-Cross-Risiko (zwei kleinere Findings = ein groesseres)
+
+## 3. Anwalts-Anhang (pro Finding)
+
+### Finding #1: [Bereich + Kurzbeschreibung]
+
+**HUNTER-Befund**:
+[Was wurde gefunden, wo, wie. Code/Text-Zitat wenn moeglich.]
+
+**Rechtsgrundlage**:
+- § / Art.: [konkret]
+- Az. relevantes Urteil: [LG/OLG/BGH/EuGH + Datum]
+- Tenor: [1 Satz aus Urteil]
+
+**CHALLENGER-Test**:
+- Bedingung A: [erfuellt/nicht erfuellt]
+- Bedingung B: [erfuellt/nicht erfuellt]
+- Verdict: verified / disputed / false-positive
+
+**Risiko-Vektor**:
+- Abmahnung Wettbewerber: [%]
+- Behoerden-Bussgeld: [€-Range, Stufe Art. 83 DSGVO]
+- Schadensersatz Betroffene: [Art. 82 DSGVO, immaterieller Schaden moeglich]
+- Worst-Case-Frist: [Tage bis Abmahnung realistisch]
+
+**Fix**:
+[Konkrete technische ODER textuelle Massnahme. Code-Snippet wenn nuetzlich.
+Bei Texten: Vorher/Nachher-Beispiel.]
+
+---
+
+[Wiederholen fuer Finding #2, #3, ...]
+
+## 4. Abmahn-Simulation (nur in Modus SIMULATE oder bei Wahrsch. > 60%)
+
+[Fiktiver Abmahn-Brief einer Wettbewerbskanzlei oder Behoerden-Anhoerung,
+mit Briefkopf-Stil, Forderungen, Unterlassungserklaerung-Entwurf, Frist,
+Streitwert. Realistisch formatiert. Klar als FIKTIV gekennzeichnet.]
+
+---
+*Diese Analyse ersetzt keine anwaltliche Beratung. Fuer verbindliche
+Rechtsauskunft empfehle ich die Konsultation eines Fachanwalts fuer
+IT-Recht / Datenschutzrecht. — RDG-Disclaimer.*
+```
+
+---
+
+## Reference-Loading-Map
+
+Lade nur die passenden References — nicht alle auf einmal. Token-Disziplin.
+
+| Sachverhalt / Trigger-Keyword | Reference-File |
+|------------------------------|----------------|
+| **JEDER SCAN-Modus (PFLICHT-LADUNG)** — standardisierte 8-Phasen-Audit-Methodik, CSP-Anti-Patterns, Header-Score, Service-zu-DSE-Cross-Check, Code-Cross-Check, Schadens-Diagnose-Formel | `references/audit-patterns.md` |
+| DSGVO, BDSG, Datenschutz, Einwilligung, Cookies, AVV, Drittland, DSFA, VVT, Datenpanne, Betroffenenrechte, Art. 13/15/82/83 | `references/dsgvo.md` |
+| DDG/TMG/Impressum, NIS2, KRITIS, EU AI Act, DSA, Urheberrecht, Open-Source-Lizenzen, Marken, Domain | `references/it-recht.md` |
+| AGB, BGB, SaaS, Lizenz, Kauf/Miete/Werk/Dienst, Gewaehrleistung, Haftung, B2C/B2B-Abgrenzung | `references/vertragsrecht.md` |
+| Checklisten Impressum/DSE/Cookie/AVV/Datenpanne/Form/E-Commerce/Cold-Outreach | `references/checklisten.md` |
+| BORA (Anwaelte), HOAI (Architekten), HWG (Heilberufe), LMIV (Lebensmittel), MPDG (Medizin), GlueStV (Gluecksspiel), JuSchG, FernUSG, Versicherung, Bank, BfArM | `references/branchenrecht.md` |
+| BGH/EuGH/LG-Urteile mit Az., Datum, Tenor — als Beleg-Datenbank | `references/bgh-urteile.md` |
+| Abmahn-Brief-Templates, Behoerden-Anhoerung-Templates, Unterlassungserklaerung-Vorlage | `references/abmahn-templates.md` |
+| AEGIS-Scanner-JSON-Output konsumieren, Findings mappen auf Rechtsgrundlagen | `references/aegis-integration.md` |
+| CCPA, UK-GDPR, Schweizer DSG, Drittlandtransfer-Details, Schrems-II-Folgen | `references/international.md` |
+| StGB §202a (Datenausspaehung), §263a (Computerbetrug), §269 (Faelschung beweiserheblicher Daten), GoBD, AO | `references/strafrecht-steuer.md` |
+
+**Lade-Strategie**:
+- Modus SCAN: **PFLICHT** `audit-patterns.md` als Methodik-Backbone + `dsgvo.md` + `it-recht.md` + `checklisten.md` + `bgh-urteile.md` als Kern (ggf. + branchenrecht.md wenn Branche identifizierbar).
+- Modus HUNT: lade `audit-patterns.md` + bereichsspezifische Reference.
+- Modus SIMULATE: zusaetzlich `abmahn-templates.md`.
+- Modus CONSULT: lade je nach Dokumenttyp.
+
+**Audit-Workflow (HUNTER-Phase)** — siehe `audit-patterns.md` fuer Details:
+1. HEADER-AUDIT (curl -sSI)
+2. HTML-LIVE-PROBE
+3. IMPRESSUM-AUDIT
+4. DSE-AUDIT
+5. COOKIE-/CONSENT-AUDIT
+6. BRANCHEN-LAYER (wenn identifizierbar)
+7. CSP-CODE-CROSS-CHECK (wenn Repo-Zugriff vorhanden)
+8. SCHADENS-DIAGNOSE-FORMEL (Synthesizer-Konsolidierung)
+
+---
+
+## Trigger-Pattern
+
+### Slash-Commands
+- `/anwalt` — Default SCAN-Modus auf aktuelles Repo/Branch
+- `/anwalt hunt <topic>` — HUNT-Modus mit Topic
+- `/anwalt simulate` — Volle SIMULATE inkl. Abmahn-Brief
+- `/anwalt consult <document>` — CONSULT-Modus mit Dokument
+
+### Auto-Trigger via Keywords
+Aktiviere automatisch wenn User in seiner Anfrage erwaehnt:
+- DSGVO / GDPR / Datenschutz
+- Impressum / DDG / TMG / TDDDG
+- Cookie / Cookie-Banner / Consent / TTDSG / § 25
+- Abmahnung / Abmahn-Anwalt / UWG / Wettbewerb
+- AVV / Auftragsverarbeitung / Drittland / SCC / TIA
+- AGB / Widerrufsrecht / Verbraucherschutz
+- Compliance / Audit / Pre-Launch
+- Datenpanne / Art. 33 / 72 Stunden
+- NIS2 / KRITIS / BSIG / IT-Sicherheit
+- AI Act / EU AI Act / KI-Verordnung
+- BGH-Urteil / EuGH / Schrems / Fashion-ID / Smartlaw / LG-Muenchen-Google-Fonts
+
+---
+
+## AEGIS-Integration (optional)
+
+Wenn das Projekt das AEGIS-Scanner-System hat (Indikator: `src/scanner/` mit `tier1/`, `tier2/`, `tier3/`-Folder, oder `aegis.config.json`):
+
+1. Pruefe ob ein aktueller AEGIS-Scan-Output existiert (`/tmp/aegis-scan.json` oder `aegis-reports/latest.json`). Wenn nein, schlage SCAN-Lauf vor (`pnpm aegis scan` o.ae.).
+2. Konsumiere AEGIS-Findings:
+   - tier1 (DNS/Headers/HSTS) → `it-recht.md` BSI-Referenz
+   - tier2 (cookie-audit, embeds-consent, font-provider, tracking-scan) → `dsgvo.md` § 25 TTDSG
+   - tier3 (cookie-compliance, datenschutz-check, impressum-check, branche) → DSGVO/DDG-Mapping
+3. Mappe AEGIS-Schweregrad auf Anwalts-Kritikalitaet:
+   - AEGIS critical → 🔴 KRITISCH (Wahrsch. typisch > 70%)
+   - AEGIS high → 🟡 HOCH (40–70%)
+   - AEGIS medium → 🟢 MITTEL (10–40%)
+   - AEGIS low → ueber Schwellwert ignorieren oder nur erwaehnen
+4. HUNTER nutzt AEGIS-Findings als Eingabe + scannt zusaetzlich Pages-Content (Texte, AGB, Datenschutzerklaerung) auf Patterns die AEGIS nicht abdeckt (z.B. AGB-Klauseln, Wording-Verstoesse).
+5. CHALLENGER prueft ob AEGIS-Findings tatsaechlich rechtliche Konsequenzen haben (technical-finding ≠ rechtlicher Verstoss; z.B. fehlender HSTS-Header ist BSI-Empfehlung, kein DSGVO-Verstoss → disputed).
+
+Detail-Mapping: siehe `references/aegis-integration.md`.
+
+---
+
+## Klaerungsfragen-Pattern
+
+Wenn der User unspezifisch fragt („pruefe meine Site"), stelle **maximal 3 priorisierte Klaerungsfragen** im Format:
+
+```
+🔴 Pflicht — ohne diese Information ist Audit nicht sinnvoll:
+1. [Frage] — Warum: [kurze Begruendung]
+
+🟡 Empfohlen:
+2. [Frage] — Warum: [kurze Begruendung]
+
+🟢 Optional:
+3. [Frage] — Warum: [kurze Begruendung]
+```
+
+**Typische Pflicht-Klaerungen**:
+- Branche / Zielgruppe (B2C, B2B, Heilberuf, Anwalt, ...) — bestimmt Branchen-Recht-Layer
+- URL der Live-Site oder Repo-Pfad — bestimmt Scan-Scope
+- Drittlaender im Tech-Stack (US-CDN, US-Analytics, US-Email-Provider) — bestimmt Schrems-II-Layer
+- Bestehende Datenschutzerklaerung / AGB / Impressum vorhanden? — bestimmt CONSULT vs. ANALYSIS
+
+---
+
+## Anti-Pattern (was der Skill NICHT tut)
+
+- ❌ **Keine Beruhigung**. „Das ist wahrscheinlich OK" gibt es nicht. Entweder verified-low-risk oder verified-risk.
+- ❌ **Keine Theatraliik / Sarkasmus / Beleidigungen**. User-Direktive: Sicherheit, kein Entertainment.
+- ❌ **Keine erfundenen Az.-Nummern, §-Zitate oder Urteile**. Wenn unsicher → markiere `[ungeprueft]` oder lasse weg.
+- ❌ **Keine Rechtsberatung i.S.d. RDG**. Output ist Vorpruefung. Disclaimer ist Pflicht.
+- ❌ **Keine pauschalen %-Schaetzungen** ohne Begruendungs-Kette. % muss aus Faktoren ableitbar sein (Branche, Sichtbarkeit, Konkurrenz-Aktivitaet, bisherige Abmahn-Statistik fuer den Bereich).
+- ❌ **Keine Findings ohne Fix**. Jedes verifizierte Finding muss eine konkrete Fix-Empfehlung haben.
+- ❌ **Kein Ueberfordern mit Volltext-Gesetzen**. Reference-Files werden geladen, der Skill zitiert relevante Stellen — nicht dumpen.
+
+---
+
+## Wichtige Fristen (immer pruefen)
+
+| Frist | Dauer | Rechtsgrundlage |
+|-------|-------|----------------|
+| Datenpanne → Aufsichtsbehoerde melden | **72 Stunden** | Art. 33 DSGVO |
+| Betroffene bei hohem Risiko informieren | **unverzueglich** | Art. 34 DSGVO |
+| Auskunftsanfrage Art. 15 beantworten | **1 Monat** (verlaengerbar auf 3) | Art. 12 DSGVO |
+| NIS2-Erstmeldung BSI | **24 Stunden** | BSIG / NIS2UmsuCG |
+| NIS2-Folgebericht | **72 Stunden** | BSIG / NIS2UmsuCG |
+| UWG-Abmahnung Reaktion | **typ. 7–14 Tage** | Frist im Schreiben pruefen |
+| Aussetzungserklaerung-Frist | **typ. 14 Tage** | Vorprozessual |
+| Widerrufsrecht B2C Online | **14 Tage** ab Erhalt | § 355 BGB |
+| Anfechtung wegen Irrtum | **unverzueglich** | § 121 BGB |
+| Strafrechtliche Anzeige Datendiebstahl | **3 Monate** | § 77b StGB |
+| GoBD-Aufbewahrungsfrist Geschaeftsbriefe | **6 Jahre** | § 257 HGB |
+| GoBD-Aufbewahrungsfrist Buchungsbelege | **10 Jahre** | § 147 AO |
+
+---
+
+## Skill-Versions-Disziplin
+
+Wenn Reference-Files aktualisiert werden (neue Urteile, neue Gesetze):
+- BGH/EuGH-Urteile in `references/bgh-urteile.md` ergaenzen mit Datum + Az.
+- Bei grundlegenden Aenderungen (z.B. neue ePrivacy-Verordnung in Kraft) — alle References scannen + aktualisieren.
+- Bei Bedarf: WebFetch / WebSearch nutzen um aktuelle Aufsichtsbehoerden-Stellungnahmen zu pruefen — Quelle in Fussnote angeben, nicht erfinden.
+
+---
+
+**Skill aktiviert. Startbereit fuer Audit.**

package/skills/compliance/aegis-native/brutaler-anwalt/references/abmahn-templates.md

@@ -0,0 +1,306 @@
+# Abmahn-Simulation Templates
+
+> Aktiviert in Modus SIMULATE oder bei verifizierten Findings mit Wahrsch. > 60%.
+> Generiert FIKTIVE Abmahn-/Behoerden-Briefe um den Klienten die Konsequenzen
+> sichtbar zu machen. Klar als FIKTIV gekennzeichnet, keine echten
+> Anwalts-Briefkoepfe oder echten Personen-Namen verwenden.
+
+---
+
+## Template 1: Wettbewerbskanzlei-Abmahnung (UWG/DSGVO)
+
+```
+═══════════════════════════════════════════════════════════════
+☠️ FIKTIVE ABMAHN-SIMULATION — KEIN ECHTER ANWALTS-BRIEF
+   Generiert vom brutaler-anwalt-Skill zur Risiko-Veranschaulichung
+═══════════════════════════════════════════════════════════════
+
+[Fiktive Kanzlei-Briefkopf-Andeutung]
+RECHTSANWAELTE [Platzhalter] & PARTNER PartG mbB
+Fachanwaelte fuer Wettbewerbsrecht / IT-Recht
+[Adresse-Platzhalter]
+
+An:
+[Mandant-Firma + Adresse aus Impressum]
+
+Per E-Mail an: [E-Mail aus Impressum]
+
+──────────────────────────────────────────────────────────────
+
+ABMAHNUNG wegen wettbewerbswidrigen Verhaltens
+Aktenzeichen: [fiktiv: 2026/[zufallsnummer]]
+Streitwert (vorlaeufig): [berechnet aus Findings, typ. 5.000–25.000 €]
+Frist zur Unterlassungserklaerung: 7 Werktage ab Zugang dieses Schreibens
+
+Sehr geehrte Damen und Herren,
+
+unsere Mandantschaft, [fiktive Mitbewerber-Andeutung — generisch
+"die im gleichen Marktsegment taetige X GmbH"], hat festgestellt,
+dass Sie auf Ihrer Webseite unter [Domain] gegen folgende
+Vorschriften verstossen:
+
+1. [HAUPT-FINDING aus Audit, mit § und Az.]
+   Konkret: [HUNTER-Befund, woertlich aus Findings-Liste]
+   Rechtsgrundlage: [§ XYZ + Az.]
+   Marktverhalten: § 3a UWG i.V.m. [§ XYZ]
+   
+2. [SEKUNDAERER FINDING falls existent]
+   ...
+
+Diese Verstoesse stellen jeweils ein wettbewerbsrechtlich relevantes
+Marktverhalten dar (§ 3a UWG, „Rechtsbruch") und sind geeignet, die
+Interessen unserer Mandantschaft als Mitbewerberin zu beeintraechtigen.
+
+Ihre Verstoesse sind belegt durch:
+- Screenshots der Webseite vom [Datum]
+- Header-Analyse mit [Tool], dokumentiert
+- HTML-Quelltext, Auszuege im Anhang
+
+Wir fordern Sie hiermit auf:
+
+1. den oben beschriebenen Verstoss UNVERZUEGLICH einzustellen,
+2. die beigefuegte strafbewehrte Unterlassungserklaerung bis spaetestens
+   zum [Datum + 7 Werktage] unterzeichnet zurueckzusenden,
+3. unsere Anwaltskosten in Hoehe von [berechnet nach RVG +
+   Streitwert-Tabelle, typ. 800–2.500 €] zu erstatten,
+4. Auskunft ueber den Beginn des Verstosses zu erteilen, damit
+   Schadensersatzanspruch beziffert werden kann.
+
+Andernfalls behalten wir uns ohne weitere Ankuendigung vor:
+- Antrag auf einstweilige Verfuegung beim zustaendigen Landgericht
+  zu stellen (Streitwert: 25.000 €)
+- Hauptklage einzureichen
+- Schadensersatzanspruch nach § 9 UWG geltend zu machen
+
+Wir empfehlen die Hinzuziehung eines Fachanwalts fuer IT-Recht.
+Eine modifizierte Unterlassungserklaerung ist verhandelbar.
+
+Mit kollegialen Gruessen
+
+[Platzhalter Anwalts-Name]
+Rechtsanwalt
+Fachanwalt fuer Wettbewerbsrecht
+
+ANLAGE:
+- Strafbewehrte Unterlassungserklaerung (Entwurf)
+- Screenshots
+- Kosten-Berechnung nach RVG
+
+══════════════════════════════════════════════════════════════
+ENDE FIKTIVE SIMULATION — Diese Abmahnung wurde NICHT verschickt.
+Sie zeigt nur, wie ein gegnerischer Anwalt diesen Fall bearbeiten
+wuerde, falls der Verstoss tatsaechlich entdeckt wird.
+══════════════════════════════════════════════════════════════
+```
+
+---
+
+## Template 2: Strafbewehrte Unterlassungserklaerung
+
+```
+STRAFBEWEHRTE UNTERLASSUNGSERKLAERUNG
+(Entwurf — bitte vor Unterzeichnung anwaltlich pruefen lassen)
+
+Hiermit verpflichtet sich
+
+[Firma/Person] mit Sitz in [Adresse]
+
+gegenueber [Glaeubiger]
+
+es bei Meidung einer fuer jeden einzelnen Verstoss zu zahlenden
+Vertragsstrafe in Hoehe von 5.100,- € (in Worten: fuenftausend
+einhundert Euro) — angemessene Vertragsstrafe nach Hamburger Brauch —
+zu unterlassen,
+
+[konkreter Verstoss, woertlich aus Abmahnung uebernommen]
+
+zukuenftig zu begehen.
+
+Die Vertragsstrafe ist verwirkt mit jeder einzelnen Zuwiderhandlung;
+mehrere Verstoesse innerhalb eines einheitlichen Lebenssachverhalts
+gelten dabei als ein Verstoss.
+
+Diese Erklaerung erfolgt ohne Anerkennung einer Rechtspflicht, jedoch
+rechtsverbindlich, zur Vermeidung eines Rechtsstreits.
+
+[Ort, Datum]   ___________________________
+                  (Unterschrift)
+```
+
+**Anwalts-Hinweis (im Audit-Output zu zeigen)**:
+- Vertragsstrafe pro Verstoss typisch 5.001 € — 10.001 €
+- "Hamburger Brauch" = nach billigem Ermessen, gerichtlich pruefbar
+- Modifikationsmoeglichkeit: Einschraenkung auf konkrete URL/Domain, Ausschluss von Versehen-Verstoessen, Reduzierung der Strafe.
+
+---
+
+## Template 3: Aufsichtsbehoerden-Anhoerung (DSGVO-Bussgeld-Verfahren)
+
+```
+═══════════════════════════════════════════════════════════════
+☠️ FIKTIVE BEHOERDEN-ANHOERUNG — KEIN ECHTES BEHOERDENSCHREIBEN
+   Generiert vom brutaler-anwalt-Skill zur Risiko-Veranschaulichung
+═══════════════════════════════════════════════════════════════
+
+[Fiktive Behoerden-Andeutung]
+[Bundesland] Landesbeauftragte/r fuer den Datenschutz
+und die Informationsfreiheit
+[Adresse-Platzhalter]
+
+An:
+[Verantwortlicher aus Impressum]
+
+──────────────────────────────────────────────────────────────
+
+Aktenzeichen: LfD-[fiktiv]-2026
+Betreff: Anhoerung im Bussgeldverfahren wegen Verstoss gegen
+        Art. [X] DSGVO
+
+Sehr geehrte/r [Verantwortliche/r],
+
+aufgrund einer eingegangenen Beschwerde / einer Pruefung von
+Amts wegen (Art. 57 Abs. 1 lit. a/h DSGVO) hat die unterzeichnende
+Aufsichtsbehoerde Hinweise auf folgenden Verstoss gegen die
+Datenschutz-Grundverordnung erhoben:
+
+1. Sachverhalt
+   [HUNTER-Befund + CHALLENGER-Verifikation]
+   Festgestellt am: [Datum]
+   Methode: Pruefung der Webseite [Domain] / Beschwerde durch
+            Betroffenen / Routinekontrolle
+
+2. Verstoss-Vorwurf
+   Art. [X] DSGVO i.V.m. [§ XYZ TTDSG / DDG / BDSG]
+   [Konkreter Vorwurf]
+
+3. Bussgeldrahmen
+   Stufe [1/2] gemaess Art. 83 Abs. [4/5] DSGVO
+   Voraussichtlicher Bussgeldrahmen: [berechnet]
+   - Schwere des Verstosses: [HUNTER-Bewertung]
+   - Vorsatz / Fahrlaessigkeit: [Bewertung]
+   - Kooperation: [von Mandant abhaengig]
+   - Wirtschaftliche Lage des Verantwortlichen: zu klaeren
+
+4. Stellungnahmemoeglichkeit
+   Sie haben gemaess § 28 VwVfG i.V.m. Art. 83 Abs. 8 DSGVO Gelegenheit,
+   sich binnen
+   
+                  4 Wochen ab Zugang
+   
+   zu dem Vorwurf zu aeussern. Wir empfehlen, fachkundig vertreten
+   Stellung zu nehmen.
+
+5. Mitwirkungspflichten
+   Bitte uebermitteln Sie:
+   - Verzeichnis der Verarbeitungstaetigkeiten (Art. 30 DSGVO)
+   - Auftragsverarbeitungsvertraege (Art. 28 DSGVO)
+   - Datenschutzerklaerung in der zum Pruefzeitpunkt geltenden Fassung
+   - TOMs-Konzept (Art. 32 DSGVO)
+   - Datenschutzbeauftragter-Bestellung (falls erforderlich)
+
+Bei fehlender Mitwirkung kann die Aufsichtsbehoerde im Wege der
+Schaetzung nach § 13 BDSG / Art. 83 DSGVO entscheiden.
+
+Mit freundlichen Gruessen
+i.A. [Platzhalter]
+Aufsichtsbehoerde
+
+══════════════════════════════════════════════════════════════
+ENDE FIKTIVE SIMULATION — Diese Anhoerung wurde NICHT versandt.
+Sie zeigt das Verfahren, falls eine Beschwerde eingeht.
+══════════════════════════════════════════════════════════════
+```
+
+---
+
+## Template 4: Privatperson-Auskunftsanfrage (Art. 15 DSGVO)
+
+```
+═══════════════════════════════════════════════════════════════
+SIMULIERTE BETROFFENEN-AUSKUNFTSANFRAGE
+═══════════════════════════════════════════════════════════════
+
+Von: [Betroffene/r], geb. [Datum], wohnhaft [Adresse]
+An: [Verantwortlicher aus Impressum]
+Per E-Mail: [E-Mail-Adresse]
+
+Datum: [Datum]
+Betreff: Antrag auf Auskunft nach Art. 15 DSGVO
+
+Sehr geehrte Damen und Herren,
+
+ich mache hiermit von meinem Recht auf Auskunft gemaess Art. 15 DSGVO
+Gebrauch und ersuche um folgende Informationen bezueglich aller von
+Ihnen ueber meine Person verarbeiteten Daten:
+
+1. Werden personenbezogene Daten ueber mich verarbeitet?
+2. Wenn ja: Auskunft ueber
+   a) die Verarbeitungszwecke,
+   b) die Kategorien personenbezogener Daten,
+   c) die Empfaenger oder Kategorien von Empfaengern (insb. Drittlaender),
+   d) die geplante Speicherdauer (oder Kriterien dafuer),
+   e) das Bestehen von Rechten auf Berichtigung, Loeschung, Einschraenkung,
+   f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehoerde,
+   g) die Herkunft der Daten (falls nicht direkt von mir erhoben),
+   h) das Bestehen automatisierter Entscheidungsfindung, einschliesslich Profiling,
+3. Eine KOPIE der Daten, die Gegenstand der Verarbeitung sind,
+   in einem strukturierten, gaengigen, maschinenlesbaren Format
+   (Art. 15 Abs. 3 i.V.m. EuGH C-487/21).
+
+Bitte beantworten Sie meine Anfrage gemaess Art. 12 Abs. 3 DSGVO
+binnen eines Monats. Eine Verlaengerung um zwei weitere Monate ist
+nur bei begruendeter Komplexitaet zulaessig — in diesem Fall bitte
+mich darueber binnen eines Monats informieren.
+
+Falls Sie meine Anfrage nicht oder unvollstaendig beantworten,
+behalte ich mir vor, mich an die zustaendige Aufsichtsbehoerde zu
+wenden und ggf. Schadensersatzanspruch nach Art. 82 DSGVO geltend
+zu machen (vgl. EuGH C-300/21).
+
+Mit freundlichen Gruessen
+[Betroffene/r]
+```
+
+**Anwalts-Hinweis im Output**:
+- Frist Art. 12 Abs. 3: 1 Monat (verlaengerbar auf 3 Monate bei Komplexitaet)
+- Wenn Anfrage nicht beantwortet: Beschwerde bei Aufsichtsbehoerde nach Art. 77
+- Schadensersatz immateriell moeglich, EuGH C-300/21
+- Typische Fall-Hoehe: 100–1.000 € pro nicht/spaet beantworteter Anfrage
+
+---
+
+## Streitwert-Berechnung fuer Skill
+
+| Verstoss-Typ | Typischer Streitwert | Anwaltskosten (RVG, 1,3 GG) |
+|--------------|----------------------|----------------------------|
+| Impressum unvollstaendig | 7.500 € | ~887 € |
+| Cookie-Banner-Fehler | 15.000 € | ~1.474 € |
+| Google Fonts extern | 10.000 € | ~1.183 € |
+| AGB-Klausel unwirksam | 10.000 € — 30.000 € | 1.183 — 2.342 € |
+| Datenschutzerklaerung fehlt/unvollstaendig | 15.000 € | ~1.474 € |
+| Drittlandtransfer ohne Garantien | 25.000 € | ~2.026 € |
+| Newsletter ohne Double-Opt-In | 7.500 — 15.000 € | 887 — 1.474 € |
+| Werbeanrufe / Spam | 30.000 € | ~2.342 € |
+| Markenverletzung Domain | 50.000 € | ~3.064 € |
+
+Plus DSGVO-Bussgeldrahmen separat (Art. 83):
+- Stufe 1 (z.B. Art. 28 AVV, Art. 30 VVT): bis 10 Mio. € oder 2 % JU
+- Stufe 2 (z.B. Art. 5/6/7, Art. 12-22, Art. 44-49): bis 20 Mio. € oder 4 % JU
+
+Bei KMU: typische Bussgelder 5.000 — 50.000 € bei verifizierten Verstoessen ohne Vorsatz.
+
+---
+
+## Skill-Verwendung
+
+In Modus SIMULATE oder bei Findings mit Wahrsch. > 60%:
+
+1. Sammle alle verifizierten Findings.
+2. Identifiziere Top-2/3 Findings (nach Wahrsch. × Kritikalitaet).
+3. Wahle passendes Template:
+   - Wettbewerbsrelevant (UWG-§3a-Rechtsbruch erkennbar) → Template 1
+   - Pure DSGVO ohne Wettbewerbsbezug → Template 3
+   - User wuenscht beides → beide Templates
+4. Fuelle Platzhalter aus dem konkreten Sachverhalt.
+5. Berechne Streitwert + Anwaltskosten aus Tabelle.
+6. Markiere klar als FIKTIVE SIMULATION (Schmuck-Block oben/unten).