npm - @aegis-scan/skills - Versions diffs - 0.1.1 → 0.2.1 - Mend

@aegis-scan/skills 0.1.1 → 0.2.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (36) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/aegis-integration.md ADDED Viewed

@@ -0,0 +1,241 @@
+# AEGIS-Integration
+> Wenn das Projekt das AEGIS-Scanner-System hat (Indikator: `src/scanner/`-Folder
+> mit tier1/tier2/tier3, oder `aegis.config.json` im Repo-Root), kann der
+> brutaler-anwalt-Skill die AEGIS-Findings als Eingabe konsumieren und in
+> rechtliche Bewertungen ueberfuehren.
+---
+## Projekt-Erkennung
+```
+File-Indikatoren:
+- /src/scanner/{tier1,tier2,tier3}/index.ts
+- /aegis.config.json
+- /aegis-reports/*.json
+- package.json mit "aegis" oder "@aegis/*" deps oder scripts:aegis
+```
+Wenn keiner davon vorhanden → AEGIS-Integration ueberspringen, normalen SCAN-Modus fahren.
+---
+## AEGIS-Modul-Mapping
+### Tier-1 Module (Infrastruktur / Headers)
+| AEGIS-Modul | Pruefung | Rechts-Bezug | Wenn AEGIS critical/high → Anwalt-Bewertung |
+|------------|----------|--------------|---------------------------------------------|
+| `dns.ts` / `dns.dnssec.ts` | DNS / DNSSEC-Validation | BSI-Empfehlung, NIS2 angemessene TOMs | Eher BSIG/NIS2-Layer, nicht direkt UWG-relevant |
+| `geo-ip.ts` | Server-Standort | DSGVO Art. 44 (Drittlandtransfer) wenn US-Server | KRITISCH wenn Server in USA + keine Erwaehnung in DSE |
+| `headers.ts` | Security-Headers (CSP, X-Frame, X-Content-Type) | BSI-Empfehlung, Art. 32 DSGVO TOMs | HOCH wenn fehlt + Datenpanne moeglich |
+| `hsts-preload.ts` | HSTS-Aktivierung | BSI-Empfehlung | MITTEL — Empfehlung, kein direkter Verstoss |
+| `http-status.ts` | Site-Erreichbarkeit | nicht direkt rechtlich | Nicht relevant fuer Anwalt |
+| `lang-canonical.ts` | hreflang / canonical | SEO + DSGVO Sprachpflichten Art. 12 (verstaendlich) | NIEDRIG — nur bei mehrsprachiger Seite mit anderssprachigem DSE |
+| `linked-pages.ts` | Footer-Pflicht-Links | § 5 DDG Impressum-Erreichbarkeit | KRITISCH wenn Impressum/DSE/AGB nicht in 2 Klicks |
+| `ports.ts` | Offene Ports | BSI / NIS2 | Nicht direkt rechtlich |
+| `schema-org.ts` | strukturierte Daten | SEO, nicht direkt rechtlich | NIEDRIG — bestenfalls Vertrauenssignal |
+| `security-txt.ts` | security.txt | BSI-Empfehlung | NIEDRIG |
+| `server-stack.ts` | Stack-Erkennung | bei veralteten Versionen → Art. 32 TOMs | HOCH wenn EOL-Versionen erkannt |
+| `block-lists.ts` | Threat-Intel-Listen | Reputation, nicht direkt rechtlich | NIEDRIG |
+### Tier-2 Module (DSGVO-Kern)
+| AEGIS-Modul | Pruefung | Rechts-Bezug | Wenn AEGIS critical/high |
+|------------|----------|--------------|--------------------------|
+| `cookie-audit.ts` | Cookie-Inventar vor Consent | § 25 TTDSG, Art. 6 DSGVO | KRITISCH — direkt abmahnbar (LG Muenchen, OLG Koeln) |
+| `embeds-consent.ts` | Iframe/Embed vor Consent | Art. 26 DSGVO Mit-Verantwortlichkeit (Fashion-ID) | KRITISCH — Vimeo/YouTube/Spotify ohne Consent → Verstoss |
+| `font-provider.ts` | Externe Fonts | LG Muenchen 3 O 17493/20 | KRITISCH — Google Fonts extern = Massen-Abmahn-Risiko |
+| `links-footer.ts` | Footer-Pflicht-Links | § 5 DDG, § 13 DSGVO | KRITISCH wenn Impressum/DSE-Link fehlt |
+| `tracking-scan.ts` | Tracker vor Consent | § 25 TTDSG | KRITISCH — Google Analytics/Pixel ohne Consent |
+### Tier-3 Module (Rechtliche Vollpruefung)
+| AEGIS-Modul | Pruefung | Rechts-Bezug | Wenn AEGIS critical/high |
+|------------|----------|--------------|--------------------------|
+| `a11y.ts` | Barrierefreiheit | BFSG (ab 28.06.2025 verpflichtend!) | HOCH — ab Jun 2025 abmahnbar fuer B2C-Sites |
+| `branche.ts` | Branchen-spezifische Pflichten | BORA, HOAI, HWG, LMIV, MPDG | KRITISCH wenn Branche identifiziert + Pflichten fehlen |
+| `carbon.ts` / `carbon-status.ts` | CO2-Footprint | Nicht direkt rechtlich (noch) | NIEDRIG — kann unter Greenwashing-UWG fallen |
+| `cookie-compliance.ts` | Cookie-Banner-Compliance Detail | § 25 TTDSG + Art. 7 DSGVO | KRITISCH bei Pre-Tick / Cookie-Wall / Dark-Pattern |
+| `datenschutz-check.ts` | DSE-Vollpruefung | Art. 13/14 DSGVO | KRITISCH bei fehlenden Pflichtangaben |
+| `impressum-check.ts` | Impressum-Vollpruefung | § 5 DDG | KRITISCH bei fehlenden Pflichtangaben |
+| `lighthouse.ts` | Performance / SEO / A11y | Mittelbar BFSG/Verbraucherschutz | MITTEL |
+| `seo-quality.ts` | SEO-Audit | UWG bei Black-Hat / Schleichwerbung | NIEDRIG-MITTEL |
+---
+## Schweregrad-Mapping AEGIS → Anwalt
+| AEGIS-Severity | Anwalt-Kritikalitaet | Wahrsch.-Default | Bemerkung |
+|----------------|---------------------|------------------|-----------|
+| `critical` | 🔴 KRITISCH | 70–95 % | direkt verifiziert; Wahrsch. konkret aus Branche/Sichtbarkeit |
+| `high` | 🟡 HOCH | 40–70 % | verifiziert mit potentieller Schutzlinie |
+| `medium` | 🟢 MITTEL | 10–40 % | nur wenn weitere Faktoren zusammenkommen |
+| `low` | (i.d.R. ignorieren) | < 10 % | nur erwaehnen, nicht in Findings-Tabelle |
+| `info` | (ignorieren) | n/a | Hintergrund-Info, kein Finding |
+**CHALLENGER-Test fuer AEGIS-Findings**:
+- AEGIS findet technisch X (z.B. fehlender HSTS-Header).
+- Frage: Hat das DIRECT rechtliche Konsequenz, oder nur indirekt ueber Datenpanne-Auswirkung?
+- Wenn nur indirekt → Finding nicht als KRITISCH einstufen, sondern als MITTEL mit Hinweis „TOM-Empfehlung Art. 32 DSGVO, kein Direktverstoss".
+---
+## Konsumieren von AEGIS-JSON-Output
+AEGIS-Output-Format (typisch, kann projektspezifisch variieren):
+```json
+{
+  "url": "https://example.com",
+  "scannedAt": "2026-04-27T20:15:00Z",
+  "score": 950,
+  "grade": "S",
+  "tier1": {
+    "headers": { "severity": "high", "findings": [...] }
+  },
+  "tier2": {
+    "cookie-audit": { "severity": "critical", "findings": [
+      { "name": "_ga", "category": "analytics", "setBeforeConsent": true }
+    ]}
+  },
+  "tier3": { ... }
+}
+```
+**Skill-Vorgehen**:
+1. Lese JSON aus `aegis-reports/latest.json` oder `/tmp/aegis-scan.json`.
+2. Iteriere ueber alle Module. Fuer jedes Modul mit severity `critical|high`:
+   - Mappe via Tabelle oben auf Rechts-Bezug.
+   - HUNTER notiert das als Finding.
+3. CHALLENGER prueft jedes Finding gegen den Modul-spezifischen Test (siehe Bemerkungs-Spalte oben).
+4. SYNTHESIZER konsolidiert + erkennt Cross-Risiken (z.B. fehlender Impressum-Link in Footer + DSE-Verstoss = doppeltes Abmahnrisiko ueber UWG § 3a).
+---
+## Cross-Module-Patterns (Synthesizer)
+Wenn mehrere AEGIS-Findings zusammenkommen, kombiniere sie:
+| AEGIS-Findings (zusammen) | Synthesizer-Cross-Risiko |
+|---------------------------|--------------------------|
+| `cookie-audit critical` + `tracking-scan critical` | Verdoppelter § 25 TTDSG-Hebel; Abmahn-Wahrsch. > 80% wenn Site B2C-DACH |
+| `font-provider critical` + `embeds-consent critical` | Google-Fonts-Welle 2022 Pattern; mehrere Abmahn-Anwaelte aktiv; € 170-500 pro Fall |
+| `impressum-check critical` + `linked-pages critical` (Footer) | UWG § 3a Marktverhaltensregel; jeder Mitbewerber kann abmahnen |
+| `datenschutz-check critical` + `branche.ts critical` | DSGVO + branchenrechtliche Pflicht (z.B. BORA, HWG); doppeltes Bussgeldrisiko |
+| `geo-ip US` + `tracking-scan` (US-Tracker) + `datenschutz-check` (kein Drittland-Hinweis) | Schrems-II-Kombi; Bussgeldrisiko Stufe 2 |
+---
+## Beispiel-Output bei AEGIS-Input
+Wenn das Projekt einen AEGIS-Scan mit folgenden critical-Findings hat:
+- `cookie-audit`: Google Analytics setzt `_ga` vor Consent
+- `font-provider`: 3x `fonts.googleapis.com` extern eingebunden
+- `impressum-check`: Telefonnummer fehlt
+dann generiert HUNTER:
+```
+Finding 1: Tracking-Cookie vor Consent (cookie-audit)
+- Wahrsch.: 87% (B2C-DACH-Site, sichtbar, Konkurrenz aktiv)
+- Kritikalitaet: 🔴 KRITISCH
+- §: 25 TTDSG + Art. 6 DSGVO
+- €-Range: 5.000–15.000 (UWG-Streitwert) + bis 4 % JU (DSGVO-Bussgeld)
+- Belege: EuGH C-673/17 Planet49, BGH I ZR 7/16
+Finding 2: Externe Google Fonts (font-provider)
+- Wahrsch.: 92% (LG-Muenchen-Welle aktiv, Massen-Abmahnung)
+- Kritikalitaet: 🔴 KRITISCH
+- §: Art. 6 DSGVO + § 13 GG
+- €-Range: 170-500 pro Abmahnung; bei Welle: x10-x100
+- Belege: LG Muenchen I 3 O 17493/20
+Finding 3: Impressum unvollstaendig (impressum-check)
+- Wahrsch.: 64% (UWG-Mitbewerber-Abmahnungen aktiv)
+- Kritikalitaet: 🟡 HOCH
+- §: § 5 DDG (Telefon empfohlen, nicht zwingend; Mail Pflicht)
+- €-Range: 800–4.000 (UWG-Streitwert)
+- Belege: KG Berlin 5 U 87/19, allg. UWG-Abmahnpraxis
+CHALLENGER-Tests:
+- Finding 1: Verifiziert (Tracker fix vor Consent → keine Schutz-Linie).
+- Finding 2: Verifiziert (Font extern, kein Loading-Trick erkennbar).
+- Finding 3: Disputed → § 5 DDG verlangt nicht zwingend Telefon (E-Mail reicht).
+  Downgrade auf MITTEL, 31% Wahrsch., €-Range 0-1.500.
+SYNTHESIZER:
+- Cross-Risiko: Finding 1 + Finding 2 = doppelter UWG § 3a-Hebel.
+  Kombinierter Streitwert: 25.000 €. Massen-Abmahn-Welle moeglich.
+- Worst-Case-Frist: 6-8 Wochen bis erste Abmahnung wahrscheinlich.
+- Top-Fix-Prio: 1) Cookie-Banner Consent-vor-Tracker, 2) Fonts lokal hosten,
+  3) Impressum optional vervollstaendigen.
+```
+---
+## Trigger-Pattern in Code
+Wenn der User in einem AEGIS-Repo arbeitet und Audit anfragt:
+```
+1. Pruefe ob aktueller AEGIS-Scan-Output existiert:
+   - aegis-reports/latest.json
+   - /tmp/aegis-scan-${timestamp}.json
+2. Wenn ja → konsumiere als HUNTER-Eingabe
+   Wenn nein → schlage Scan-Run vor:
+   `pnpm aegis scan` oder `npm run aegis:scan` (je nach package.json)
+3. Nach Scan: Konsumiere JSON, fuehre Multi-Persona-Audit aus.
+```
+---
+## A.E.G.I.S Standalone-CLI (optional Add-On)
+Es gibt ZUSAETZLICH den **a.e.g.i.s** Standalone-Scanner als open-source npm-Paket (MIT-Lizenz):
+- **Repo**: https://github.com/RideMatch1/a.e.g.i.s
+- **NPM**: `@aegis-scan/cli`
+- **Stack**: Next.js + Supabase + React (framework-spezifische Rules)
+- **Komponenten**: 40 regex-Scanner + 1 AST-Taint-Analyzer + 1 RPC-SQLi-Scanner + 16 external-tool-Wrapper (Semgrep, Gitleaks, ZAP, Trivy, Nuclei, Bearer, Checkov, Hadolint, TruffleHog, OSV-Scanner, testssl.sh, React Doctor, Lighthouse, Axe, ...) + 5 live-attack-Probes + 4 Compliance-Frameworks (GDPR/SOC2/ISO27001/PCI-DSS) + MCP-Server fuer AI-Agents + GitHub-Actions-Recipe.
+### Verwendung als Erweiterung zum Skill
+Wenn der User explizit eine **tiefere technische Pruefung** (Code-Taint, SAST, Compliance-Frameworks) wuenscht ueber die Page-Content-Analyse hinaus:
+```bash
+# In ein beliebiges Repo (Next.js/React/Supabase)
+npx @aegis-scan/cli scan --output aegis-report.json
+# Ergebnis: aegis-report.json mit 40 Scanner-Findings + Taint-Analysis +
+# externe-Tool-Outputs + 0-1000 Score + FORTRESS→CRITICAL Grade.
+```
+Der Skill kann den `aegis-report.json` mit derselben Schweregrad-Mapping-
+Tabelle konsumieren, die im Abschnitt "Compliance-Frameworks-Mapping"
+unten beschrieben ist.
+### Compliance-Frameworks-Mapping (a.e.g.i.s → Anwalts-Bewertung)
+| a.e.g.i.s Framework | Anwalts-Aequivalent |
+|--------------------|---------------------|
+| GDPR (4 Rules) | DSGVO-Layer (`references/dsgvo.md`) |
+| SOC 2 | ISO 27001 / Art. 32 DSGVO TOMs (`references/it-recht.md` NIS2) |
+| ISO 27001 | Art. 32 DSGVO TOMs / NIS2 |
+| PCI-DSS | nur relevant bei Kreditkarten-Verarbeitung — Bank/Versicherungs-Layer (`references/branchenrecht.md`) |
+Bei DSGVO-spezifischen a.e.g.i.s-Findings: pruefe Cross-Risiko mit Pages-Content-Analyse, da DSGVO oft sowohl Code-Layer (Datenflusss) als auch Inhalts-Layer (DSE-Erwaehnung, Consent-Banner) betrifft.
+### Nutzungs-Empfehlung
+- **Default-SCAN-Modus des Skills**: reine Pages-Content-Analyse (Texte, AGB, Datenschutzerklaerung, Cookie-Banner, Impressum) — schnell + token-effizient. Code-Layer-Findings werden optional einbezogen, wenn der User `@aegis-scan/cli` aktiv eingebunden hat.
+- **Tiefe-Mode**: Wenn User `/anwalt scan --deep` oder Aehnliches anfragt: Schlage zusaetzlich `@aegis-scan/cli` vor.
+- **CI-Mode**: a.e.g.i.s liefert eine GitHub-Actions-Recipe (`ci/github-action/`) — koennte vom User in CI eingebunden werden, dann konsumiert der Skill die PR-Comments mit Score + Top-Findings.
+### Hinweis fuer Skill-Output
+Wenn ein Audit a.e.g.i.s-Ergebnisse einbezieht, in der Disclaimer-Note erwaehnen:
+> Tiefenscanning durch a.e.g.i.s (open-source @aegis-scan/cli, MIT-Lizenz, ergaenzend zu Semgrep/CodeQL — nicht Ersatz). Findings sind technisch-indikativ; rechtliche Bewertung durch Anwalts-Anhang dieses Skills, nicht durch a.e.g.i.s selbst.

package/skills/compliance/aegis-native/brutaler-anwalt/references/audit-patterns.md ADDED Viewed

@@ -0,0 +1,277 @@
+# Audit-Patterns — Standardisierte HUNTER-Methodik
+> Erfahrungs-extrahierte Audit-Patterns aus realen Live-Audits.
+> Wenn der Skill einen Web-Audit fuehrt, soll er DIESE Pattern-Reihenfolge
+> systematisch durchlaufen. Lieber zu paranoid als zu lax.
+---
+## Phase 1: HEADER-AUDIT (curl -sSI)
+### CSP-Anti-Patterns (sofort 🔴 KRITISCH)
+| Pattern | Kritikalitaet | Empfehlung | Az. / Quelle |
+|---------|--------------|-----------|--------------|
+| `script-src ... 'unsafe-inline'` | 🔴 KRITISCH | strict-dynamic + per-request-nonce migrieren | Mozilla A+ / OWASP CSP Cheat Sheet |
+| `style-src ... 'unsafe-inline'` | 🟡 HOCH | nonce oder hashes; bei Tailwind: kein Workaround → akzeptiert | Mozilla A+ |
+| `script-src ... 'unsafe-eval'` (Production) | 🔴 KRITISCH | wasm-unsafe-eval reicht meist; eval = XSS-Vektor | OWASP |
+| `default-src *` oder `default-src 'unsafe-inline'` | 🔴 KRITISCH | nicht zulaessig; explizite Whitelists | OWASP |
+| `frame-ancestors 'none'` fehlt + X-Frame-Options fehlt | 🔴 KRITISCH | Clickjacking-Vektor | BSI |
+| Keine `frame-ancestors` und keine X-Frame-Options | 🔴 KRITISCH | siehe oben |  |
+### CSP-Drittland-Auto-Detection (🔴 KRITISCH bei Match)
+Pruefe ob folgende Domains in CSP `script-src`, `style-src`, `font-src`, `connect-src`, `img-src`, `frame-src`:
+| Domain in CSP | Auto-Finding |
+|---------------|--------------|
+| `fonts.googleapis.com` | 🔴 KRITISCH — LG Muenchen I 3 O 17493/20, Schadensersatz 100€/Visitor, Massen-Abmahn-Pattern |
+| `fonts.gstatic.com` | 🔴 KRITISCH — siehe oben |
+| `googletagmanager.com` | 🟡 HOCH wenn aktiv — § 25 TTDSG Consent-Pflicht, EuGH C-673/17 |
+| `google-analytics.com` | 🟡 HOCH wenn aktiv — § 25 TTDSG + Drittlandtransfer USA |
+| `connect.facebook.net` / `*.facebook.com` | 🔴 KRITISCH — Fashion-ID-Mit-Verantwortlichkeit, EuGH C-40/17 |
+| `*.linkedin.com` (Insight Tag) | 🟡 HOCH — § 25 TTDSG Consent |
+| `*.x.com` / `*.twitter.com` (Embeds) | 🟡 HOCH — Fashion-ID-Pattern |
+| `*.tiktok.com` / `tiktokapis.com` | 🟡 HOCH — China-Drittland-Layer; CCP-Datenzugriff-Risiko |
+| `*.stripe.com` | 🟢 MITTEL — US-Drittland; Stripe ist DSGVO-konform aber Erwaehnung in DSE Pflicht |
+| `*.youtube.com` | 🟡 HOCH — wenn nicht youtube-nocookie.com → § 25 TTDSG |
+| `youtube-nocookie.com` | 🟢 NIEDRIG (akzeptiert, DSE-Erwaehnung trotzdem) |
+| `vimeo.com` / `player.vimeo.com` | 🟡 HOCH — Drittland + Tracking-Cookies |
+| `*.openstreetmap.org` / `nominatim.openstreetmap.org` | 🟢 MITTEL — UK-Foundation; Drittland-Hinweis in DSE noetig |
+| `maps.googleapis.com` | 🔴 KRITISCH ohne ConsentGate — Google Maps API loadet ohne Consent direct, Daten-Uebertragung an Google |
+| `js.stripe.com` | 🟢 MITTEL — US, aber DSGVO-OK mit DSE-Erwaehnung |
+### Sicherheits-Header-Vollstaendigkeit (1 Punkt pro vorhandenem Header)
+| Header | Pflicht | Score wenn fehlt | Note |
+|--------|---------|-----------------|------|
+| `Strict-Transport-Security` (HSTS) | ✅ | -10 | Plus `preload` Bonus |
+| `X-Frame-Options: DENY` oder `SAMEORIGIN` | ✅ | -10 | wenn frame-ancestors da, optional |
+| `X-Content-Type-Options: nosniff` | ✅ | -5 | |
+| `Referrer-Policy` | ✅ | -5 | strict-origin-when-cross-origin empfohlen |
+| `Permissions-Policy` | ✅ | -5 | mind. camera/microphone/geolocation regulieren |
+| `Cross-Origin-Opener-Policy` (COOP) | empf | -3 | same-origin-allow-popups |
+| `Cross-Origin-Embedder-Policy` (COEP) | empf | -3 | credentialless empfohlen |
+| `Cross-Origin-Resource-Policy` (CORP) | empf | -3 | same-origin |
+| `X-XSS-Protection: 0` ODER nicht gesetzt | best-practice | 0 (no penalty) | "1; mode=block" ist veralteter Pattern |
+| `X-Permitted-Cross-Domain-Policies: none` | optional | 0 | Anti-Adobe-Flash |
+| `Content-Security-Policy` (mit nonce + strict-dynamic) | ✅ | -20 | wichtigster Header |
+---
+## Phase 2: HTML-LIVE-PROBE
+### Pflicht-Checks
+```
+- Title gesetzt
+- Genau 1 H1
+- H1 hat sichtbaren Text (nicht nur Bild oder leerer span)
+- H1 nicht initial opacity:0 (LCP-Killer Pattern empirisch beobachtet 2026-04-27 — wenn Above-the-Fold-CSS das H1 mit `opacity:0` ausblendet und JS-Animation das nicht innerhalb des LCP-Fensters wieder aufdeckt, liest Lighthouse das H1 als nicht-sichtbar und bricht den LCP-Score ein)
+- meta-description vorhanden
+- canonical-Link
+- hreflang bei mehrsprachigen Sites
+- Cookie-Banner-Indikator (vanilla-cookieconsent / cookiebot / usercentrics / borlabs / tarteaucitron)
+- KEIN direkter <script src="https://www.googletagmanager.com"> ohne Consent
+- KEIN direkter <link href="https://fonts.googleapis.com"> (KRITISCH — LG Muenchen)
+- KEIN <iframe src="https://www.youtube.com/..."> (sondern youtube-nocookie.com oder ConsentGate)
+```
+### Image-Source-Audit
+Sammle alle `<img src="https://...">` und `<picture>` external sources. Map auf Drittland:
+- *.amazonaws.com → US
+- *.googleapis.com / lh3.googleusercontent.com → US
+- *.cloudfront.net → US
+- *.unsplash.com → US
+- *.shopify.com → US/Cookie
+- *.ggpht.com → US (Google)
+- *.supabase.co → meist EU (eu-central-1) wenn richtig konfiguriert; sonst US
+→ Cross-Check: Sind alle in DSE erwaehnt + Drittland-Hinweis?
+---
+## Phase 3: IMPRESSUM-AUDIT
+### Pflicht-Felder (§ 5 DDG)
+| Pflicht | Pattern-Hinweis | Bei Fehlen |
+|---------|----------------|------------|
+| Vollstaendiger Name (Person) ODER Firma + Rechtsform | "Inhaber: …", "Firma … UG/GmbH/GbR" | KRITISCH — Anbieter-Identifikation |
+| Postanschrift (kein Postfach) | PLZ + Ort + Strasse | KRITISCH |
+| Kontakt: E-Mail (Pflicht), Telefon (empfohlen, nicht zwingend laut BGH) | mailto-Link / `+49 …` | E-Mail KRITISCH, Telefon HOCH |
+| USt-IdNr. (wenn vorhanden) | DE\d{9} | nur wenn UStG-relevant |
+| Wirtschafts-ID (wenn) | § 139c AO | optional |
+| Handelsregister + Nummer (bei Eintragung) | HRB \d+ + Registergericht | KRITISCH wenn UG/GmbH ohne |
+| Vertretungsberechtigte (jur. Personen) | "vertreten durch …" | KRITISCH bei UG/GmbH |
+| Aufsichtsbehoerde (falls relevant) | "Zustaendige Behoerde …" | bei reg. Berufen Pflicht |
+| Berufsbezeichnung + Verleihungsstaat (Heilberufe/Anwaelte) | … | Branchen-spezifisch Pflicht |
+| Verantwortlich nach § 18 Abs. 2 MStV (journalistisch) | "Verantwortlich i.S.d. …" | nur bei Blog/News |
+| EU-Streit-Plattform-Link | https://ec.europa.eu/consumers/odr | KRITISCH bei B2C-Online-Shops |
+| Verbraucherschlichtung-Hinweis (ja/nein) | "nicht teil…", "bereit, an …" | empf bei B2C |
+| DDG statt TMG (seit 14.05.2024) | "§ 5 DDG" / "§ 7 Abs. 1 DDG" | Modernitaets-Indikator |
+### Anbieter-Identifikations-Patterns (robust)
+```
+1. <h2|h3>Anbieter (gemaess|nach) § 5 DDG?</h2|h3>
+   → next <p>|<address> ist der Anbieter-Block
+2. <h2|h3>Angaben (gemaess|nach) § 5 DDG?</h2|h3>
+   → next <p>|<address> ist der Anbieter-Block
+3. Direkt am Page-Anfang (bei einfachen Impressums)
+4. <address>...</address> Tag (semantisches Markup)
+5. Microdata: itemscope itemtype="http://schema.org/Organization"
+```
+Wenn KEINER dieser Patterns matched → KRITISCH-Finding: Anbieter unklar identifizierbar.
+---
+## Phase 4: DSE-AUDIT
+### Pflicht-Sektionen (Art. 13 DSGVO)
+| # | Sektion | Pflicht | Bei Fehlen |
+|---|---------|---------|------------|
+| 1 | Verantwortlicher (Name, Adresse, Kontakt) | ✅ | KRITISCH |
+| 2 | Datenschutzbeauftragter (wenn vorhanden) | ✅ falls Pflicht (>20 MA mit reg. Verarbeitung) | HOCH wenn Pflicht aber fehlt |
+| 3 | Zwecke + Rechtsgrundlagen pro Verarbeitung | ✅ | KRITISCH |
+| 4 | Empfaenger / Kategorien von Empfaengern | ✅ | KRITISCH |
+| 5 | Drittland-Transfer + Garantien (SCC/Adequacy) | ✅ wenn Drittland | KRITISCH bei US-Diensten ohne Hinweis |
+| 6 | Speicherdauer pro Datenkategorie | ✅ | HOCH |
+| 7 | Betroffenenrechte: Auskunft (Art. 15), Berichtigung (16), Loeschung (17), Einschraenkung (18), Portabilitaet (20), Widerspruch (21), Beschwerde Aufsichtsbehoerde | ✅ | KRITISCH wenn unvollstaendig |
+| 8 | Widerrufsrecht fuer Einwilligungen | ✅ | KRITISCH bei consent-basierten Diensten |
+| 9 | Quelle der Daten (bei Dritterhebung Art. 14) | ✅ wenn relevant | HOCH |
+| 10 | Automatisierte Entscheidungen / Profiling | ✅ wenn vorhanden | HOCH wenn vorhanden aber nicht erwaehnt |
+| 11 | Fuer JEDEN aktiven externen Dienst: eigener Block mit Anbieter, Adresse, Datentyp, Rechtsgrundlage, Speicherdauer, Drittland-Hinweis | ✅ | je 1 Punkt pro fehlendem Dienst |
+### Service-zu-DSE Cross-Check (Service-Inventory)
+```
+1. Sammle ALLE in CSP whitelisted Drittland-Domains.
+2. Sammle alle in src/ tatsaechlich genutzten externen Services (grep -E 'fetch|axios|XMLHttpRequest' + URL-Match).
+3. Sammle alle <script src="..."> + <link href="..."> + <iframe src="..."> in HTML.
+4. Konsolidiere: aktive externe Services.
+5. Cross-check gegen DSE-Erwaehnung (ggf. Synonym-Liste: "Stripe" auch "Stripe Inc.", "Stripe Payments")
+6. Pro NICHT-erwaehnter aktiver Service:
+   - Wahrscheinlichkeit: hoch wenn Drittland (Schrems-II-Cluster)
+   - Schadensvektor: Aufsichtsbehoerden-Bussgeld + Schadensersatz Art. 82
+   - Fix-Vorschlag: konkreter Text-Block-Vorschlag fuer DSE
+```
+---
+## Phase 5: COOKIE-/CONSENT-AUDIT
+### Pflicht-Checks (§ 25 TTDSG)
+```
+1. Cookie-Banner sichtbar bei Erstbesuch?
+2. Banner zeigt Akzeptieren + Ablehnen + Anpassen — gleichwertig (gleiche Groesse/Farbe/Position)?
+3. Pre-Checked-Boxen? (UNZULAESSIG — EuGH C-673/17 Planet49)
+4. Cookie-Wall (Inhalte gesperrt bis Akzeptieren)? (Borderline — OLG Muenchen erlaubt mit gleichwertiger Alternative)
+5. Tracking-Tools laden VOR Consent? (KRITISCH — gtag, _ga, fbq, etc. duerfen erst nach Consent)
+6. Widerrufs-Mechanismus (Cookie-Settings-Link im Footer)?
+7. Consent dokumentiert (Backend-Log mit consentId, Zeitpunkt, Umfang, Version)?
+8. Cookie-Tabelle in DSE: konkrete Cookie-Namen + Zweck + Speicherdauer?
+```
+### Cookie-Banner-Live-Detection
+```bash
+# Header-Indikator
+curl -sS https://example.com | grep -iE 'cookieconsent|cookiebot|usercentrics|borlabs|tarteaucitron|cmplz|complianz'
+# Wenn keine Library erkennbar + JS-Tracker geladen → SOFORT KRITISCH
+# Lass dann den User die Library benennen oder beweisen dass kein Tracker laeuft
+```
+---
+## Phase 6: BRANCHEN-LAYER (wenn identifizierbar)
+Branchen-Identifikation ueber:
+- siteConfig.serviceType / industry
+- Domain-Name-Patterns (anwalt.example.com, .arzt-, kanzlei-)
+- Page-Content (Hero/H1)
+- schema.org Organization @type
+- Footer-Hinweise (Kammer, Berufsbezeichnung)
+→ Lade `references/branchenrecht.md` mit der passenden Sektion.
+### Sonder-Patterns
+| Branche-Hint | Zusatz-Pruefung |
+|--------------|------------------|
+| Pet-Health-/Tier-Apps mit KI-Diagnose | HWG-naehe — KI darf NICHT als Heilmittel-Empfehlung framed sein. Disclaimer "ersetzt keinen Tierarzt" Pflicht. |
+| Online-Coaching / Kurse | FernUSG-Check (BGH 2024 — ZFU-Pflicht?) |
+| Online-Shop B2C | Button-Loesung "zahlungspflichtig bestellen", Widerrufsbelehrung, PAngV |
+| Anwalt | BORA-Werbeverbot pruefen |
+| Heilberuf | HWG + Berufsordnung |
+| Architekt | HOAI-Hinweise |
+| KI-Funktionen | EU AI Act Risikoklasse + Disclaimer |
+---
+## Phase 7: CSP-CODE-CROSS-CHECK (Code-Layer)
+Wenn lokal Repo-Zugriff vorhanden:
+```bash
+# Fuer jede in CSP allowed Domain:
+grep -rEn "DOMAIN" src/ --include="*.tsx" --include="*.ts" --include="*.jsx" --include="*.js"
+# Wenn 0 Treffer (ausser proxy.ts/middleware.ts/csp-config) → CSP-Tightening empfohlen
+# Wenn Treffer → bestaetigt aktiv → DSE-Erwaehnungs-Check
+```
+Wenn lokale Code-Pfade nicht vorhanden:
+- Live-HTML-Scan + Network-Analyse (JS-loaded resources)
+- Performance-Tab Approximation: alle externen Requests die von der Site ausgehen
+---
+## Phase 8: SCHADENS-DIAGNOSE-FORMEL (Synthesizer)
+### Wahrscheinlichkeits-Berechnung
+```
+P(Abmahnung 90 Tage) = base_rate × industry_factor × visibility_factor × competitor_activity × verstoss_kombination
+base_rate (DACH): 0.10–0.40 fuer KMU mit 1+ verifiziertem Verstoss
+industry_factor:
+  - Anwaelte/Heilberufe = 1.5 (mehr Konkurrenz, mehr Abmahn-Anwaelte)
+  - E-Commerce B2C = 1.7 (Pflicht-Pflicht-Pflicht-Falle)
+  - SaaS B2B = 0.8 (weniger Abmahn-Druck)
+  - Pet-/Tier-Apps = 1.0
+visibility_factor:
+  - viel SEO + Werbung = 1.3
+  - eher unterhalb-Radar = 0.7
+competitor_activity:
+  - bekannte Abmahn-Welle (Google Fonts 2022) = 2.0
+  - normal = 1.0
+verstoss_kombination:
+  - 1 Verstoss = 1.0
+  - 2 Verstoesse synergistisch = 1.4
+  - 3+ Verstoesse synergistisch = 1.8
+```
+### €-Schadensschaetzung
+```
+- Abmahnung Wettbewerber: Streitwert × 0.13 (RVG 1,3 Geschaeftsgebuehr)
+  - Streitwert siehe abmahn-templates.md Tabelle
+- Aufsichtsbehoerde-Bussgeld: pruefe Stufe 1 (10 Mio./2%) vs Stufe 2 (20 Mio./4%); fuer KMU realistisch 5.000–50.000 €
+- Schadensersatz Art. 82 DSGVO (immaterieller): 100–5.000 € pro Betroffener; bei Datenleck mit vielen Betroffenen schnell 6-stellig
+- Bei Massen-Abmahnung (Google Fonts-Pattern): 170-500 € pro Visitor × Anzahl Visitors mit Anzeige
+```
+---
+## Anti-Pattern (was Skill nicht tun darf)
+- ❌ KEINE pauschalen %-Schaetzungen ohne Begruendungs-Kette aus den oberen Faktoren
+- ❌ KEINE Annahme dass Skipping ein bestimmtes Audit-Phase „ok" ist; minimal alle 8 Phasen abklopfen
+- ❌ KEINE False-Positive-Aktion: Wenn Header X fehlt, IMMER CHALLENGER fragen „aber wirkt sich das tatsaechlich aus, oder ist es nur Defense-in-depth?"
+- ❌ KEIN „CSP-allowed = aktiv" — IMMER Code-Cross-Check oder Live-HTML-Verifikation