npm - @aegis-scan/skills - Versions diffs - 0.1.1 → 0.2.1 - Mend

@aegis-scan/skills 0.1.1 → 0.2.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (36) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/checklisten.md ADDED Viewed

@@ -0,0 +1,276 @@
+# Checklisten — Dokumente & Compliance (Deutschland)
+> Lade diese Datei bei: Dokumentenprüfung (Impressum, AGB, Datenschutzerklärung, AVV, NDA), Compliance-Audits, Erstellung neuer rechtlicher Dokumente, Einstieg in ein neues Projekt.
+---
+## Checkliste 1: Impressum (§ 5 DDG)
+### Anbieter-Typ: Einzelperson / Freiberufler
+- [ ] Vorname und Nachname (vollständig)
+- [ ] Straße, Hausnummer, PLZ, Ort
+- [ ] E-Mail-Adresse (direkt erreichbar, kein Formular allein)
+- [ ] ggf. Telefonnummer (empfohlen, nicht mehr zwingend)
+- [ ] ggf. Berufliche Kammer / Berufsbezeichnung + Aufsichtsbehörde
+- [ ] ggf. Berufsrecht und Zugangsland (z.B. "zugelassen in Deutschland")
+- [ ] USt-ID oder Steuernummer (wenn USt-pflichtig)
+- [ ] Inhaltlich Verantwortlicher (bei redaktionellen Inhalten, § 18 Abs. 2 MStV)
+### Anbieter-Typ: GmbH / UG
+- [ ] Firma (vollständig mit Rechtsformzusatz)
+- [ ] Sitz der Gesellschaft (eingetragener Sitz!)
+- [ ] Geschäftsführer (alle vertretungsberechtigten Personen)
+- [ ] Handelsregisternummer + zuständiges Amtsgericht
+- [ ] USt-ID (§ 27a UStG)
+- [ ] E-Mail-Adresse
+- [ ] ggf. Aufsichtsbehörde (bei regulierten Tätigkeiten)
+- [ ] Inhaltlich Verantwortlicher (bei redaktionellen Inhalten)
+### Anbieter-Typ: AG
+- Wie GmbH, zusätzlich:
+- [ ] Vorstand (alle Mitglieder)
+- [ ] Vorsitzender des Aufsichtsrats
+### Anbieter-Typ: GbR / OHG / KG
+- [ ] Alle Gesellschafter mit vollständigem Namen und Adresse
+- [ ] Bei KG: Komplementär(e) benennen
+### Prüfung Erreichbarkeit
+- [ ] Impressum über max. 2 Klicks von der Startseite erreichbar
+- [ ] Impressum in der Fußzeile verlinkt
+- [ ] Mobil erreichbar (nicht hinter Hamburger-Menü versteckt)
+- [ ] Impressum auf Social-Media-Profil angegeben (Bio, "Über uns")
+- [ ] Impressum-Link auch in E-Mail-Signatur (bei geschäftlichen E-Mails empfohlen)
+---
+## Checkliste 2: Datenschutzerklärung
+### Grundstruktur
+- [ ] Verantwortlicher vollständig benannt (= Impressum-Angaben)
+- [ ] Datenschutzbeauftragter genannt (Name + Kontakt), falls vorhanden/pflichtgemäß
+- [ ] Erstellungsdatum / "Stand: [Monat Jahr]"
+### Je Verarbeitungsvorgang (Art. 13 DSGVO)
+Für jede Verarbeitung (Website-Besuch, Kontaktformular, Newsletter, Shop-Bestellung, etc.):
+- [ ] Welche Daten werden erhoben?
+- [ ] Zweck der Verarbeitung
+- [ ] Rechtsgrundlage (Art. 6 DSGVO: Einwilligung / Vertrag / rechtliche Verpflichtung / berechtigtes Interesse)
+- [ ] Bei berechtigtem Interesse: Welches Interesse? Interessenabwägung erwähnen
+- [ ] Empfänger der Daten (konkrete Namen oder Kategorien)
+- [ ] Drittlandtransfer? (Wenn ja: Garantie = SCC / Angemessenheitsbeschluss)
+- [ ] Speicherdauer (oder Kriterien für Festlegung)
+### Betroffenenrechte (Art. 15-22 DSGVO)
+- [ ] Auskunftsrecht (Art. 15)
+- [ ] Berichtigungsrecht (Art. 16)
+- [ ] Löschungsrecht (Art. 17)
+- [ ] Einschränkungsrecht (Art. 18)
+- [ ] Datenübertragbarkeit (Art. 20)
+- [ ] Widerspruchsrecht (Art. 21) — besonders bei Direktwerbung und berechtigtem Interesse
+- [ ] Recht auf menschliche Überprüfung bei automatisierten Entscheidungen (Art. 22)
+- [ ] Widerrufsrecht für Einwilligungen
+### Beschwerderecht
+- [ ] Hinweis auf Beschwerderecht bei Aufsichtsbehörde (Art. 77)
+- [ ] Zuständige Behörde nennen (nach Bundesland des Firmensitzes)
+### Besondere Themen
+- [ ] Cookies und Tracking → Verweis auf Cookie-Richtlinie oder Integration
+- [ ] Google Analytics / Matomo / etc. → Separate Erläuterung mit Opt-Out
+- [ ] YouTube / Google Maps / Social Media Einbindungen → Datenweitergabe erklären
+- [ ] Newsletter → Einwilligung, Double-Opt-In, Empfänger, Abmeldemöglichkeit
+- [ ] Bewerbungen → Aufbewahrungsdauer, Löschung nach Ablehnung
+- [ ] Zahlungsdienstleister (PayPal, Stripe, etc.) → Datenweitergabe
+---
+## Checkliste 3: Cookie-Consent (§ 25 TTDSG + Art. 6 DSGVO)
+### Consent-Banner / CMP (Consent Management Platform)
+- [ ] Banner erscheint vor Setzen nicht-notwendiger Cookies
+- [ ] "Ablehnen" ist genauso prominent wie "Akzeptieren" (nicht versteckt)
+- [ ] Keine vorausgewählten Haken bei optionalen Kategorien
+- [ ] Kein "Weitersurfen = Einwilligung"-Konstrukt
+- [ ] Kategorien klar beschrieben (Notwendig, Statistik, Marketing, etc.)
+- [ ] Granulare Ablehnung möglich (einzelne Tools ablehnen)
+- [ ] Einwilligung wird dokumentiert (Zeitstempel, Version, Auswahl)
+- [ ] Widerruf der Einwilligung jederzeit möglich (z.B. über Datenschutz-Einstellungen in Footer)
+- [ ] Einwilligungsnachweis vorhanden (Protokollierung)
+### Technisch notwendige Cookies (keine Einwilligung)
+- [ ] Nur wirklich notwendige Cookies ohne Consent gesetzt
+- [ ] Session-IDs, Login-Tokens, Warenkorb = OK
+- [ ] CSRF-Token, Load-Balancing = OK
+- [ ] Komfort-Cookies (Sprache): Grauzone — Einwilligung sicherheitshalber einholen
+### Drittanbieter-Prüfung
+- [ ] Alle eingebundenen Tools gelistet (Google Fonts, Analytics, Maps, Ads...)
+- [ ] US-Tools: SCC geprüft? Angemessenheitsbeschluss vorhanden?
+- [ ] Google Analytics 4: IP-Anonymisierung aktiviert, keine User-ID ohne Einwilligung
+- [ ] Meta Pixel: Nur mit aktiver Einwilligung laden
+---
+## Checkliste 4: Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO)
+### Muss ein AVV abgeschlossen werden?
+AVV erforderlich wenn:
+- Dritter verarbeitet personenbezogene Daten **im Auftrag** des Verantwortlichen
+- Der Dritte hat **keinen eigenen Zweck** — er handelt nur nach Weisung
+- Typische Fälle: Cloud-Hosting, E-Mail-Dienste, Newsletter-Tools, CRM, Analytics, Support-Tools
+Kein AVV nötig (Joint-Controller stattdessen):
+- Beide Parteien bestimmen Zwecke und Mittel gemeinsam (→ Art. 26 DSGVO)
+### Mindestinhalt des AVV (Art. 28 Abs. 3 DSGVO)
+- [ ] Gegenstand der Verarbeitung
+- [ ] Dauer der Verarbeitung
+- [ ] Art und Zweck der Verarbeitung
+- [ ] Art der personenbezogenen Daten
+- [ ] Kategorien betroffener Personen
+- [ ] Pflichten und Rechte des Verantwortlichen
+### Inhaltliche Pflichten des Auftragsverarbeiters (vertraglich festlegen)
+- [ ] Verarbeitung nur auf dokumentierte Weisung
+- [ ] Vertraulichkeit (alle verarbeitenden Personen verpflichtet)
+- [ ] Technische und organisatorische Maßnahmen (TOMs) nach Art. 32
+- [ ] Regelung zu Sub-Auftragsverarbeitern (generelle oder spezifische Genehmigung)
+- [ ] Unterstützung des Verantwortlichen bei Betroffenenrechten
+- [ ] Unterstützung bei Art. 32-36 Pflichten (TOMs, DSFA, Meldepflichten)
+- [ ] Löschung oder Rückgabe aller Daten nach Auftragsende
+- [ ] Bereitstellung aller notwendigen Informationen zur Nachweisführung
+- [ ] Auditrechte des Verantwortlichen
+### Gängige Sub-Auftragsverarbeiter (häufig im SaaS-Bereich)
+- Prüfe ob Cloud-Anbieter (AWS, Azure, GCP) Sub-AVV hat
+- Zahlungsdienstleister mit Datenzugriff → ebenfalls AVV prüfen
+- Support-Tools (Zendesk, Intercom) → Datenzugriff auf Kundendaten = AVV nötig
+---
+## Checkliste 5: NIS2-Compliance (ab Oktober 2024)
+### Schritt 1: Betroffenheitsprüfung
+- [ ] In welchem Sektor ist das Unternehmen tätig?
+- [ ] Unternehmensgröße: Mitarbeiterzahl, Jahresumsatz, Jahresbilanzsumme
+- [ ] Einordnung: Wesentliche Einrichtung / Wichtige Einrichtung / Nicht betroffen
+### Schritt 2: Registrierung
+- [ ] Beim BSI registriert (NIS2-Meldepflicht)
+- [ ] Kontaktstelle benannt (24/7 erreichbar für BSI)
+### Schritt 3: Risikomanagement
+- [ ] Risikoanalyse für Netz- und Informationssysteme durchgeführt
+- [ ] Sicherheitskonzept dokumentiert
+- [ ] Mindestmaßnahmen umgesetzt:
+  - [ ] Risikoanalyse und Informationssicherheitskonzept
+  - [ ] Bewältigung von Sicherheitsvorfällen (Incident Response Plan)
+  - [ ] Business Continuity (BCM, Backup, Notfallpläne)
+  - [ ] Supply-Chain-Sicherheit (Lieferantenbewertung)
+  - [ ] Sicherheit bei Erwerb, Entwicklung und Wartung
+  - [ ] Policies zu Cyberhygiene und Schulungen
+  - [ ] Kryptographie und Verschlüsselung
+  - [ ] Personalsicherheit, Zugangskontrolle, Asset Management
+  - [ ] Multi-Faktor-Authentifizierung
+  - [ ] Sichere Kommunikation (verschlüsselt)
+### Schritt 4: Meldeprozess
+- [ ] Prozess für Erkennung erheblicher Sicherheitsvorfälle vorhanden
+- [ ] 24h-Erstmeldung an BSI sichergestellt
+- [ ] 72h-Folgebericht-Prozess dokumentiert
+- [ ] 1-Monat-Abschlussbericht-Pflicht bekannt
+### Schritt 5: Governance
+- [ ] Geschäftsführung über NIS2-Pflichten informiert und geschult
+- [ ] Verantwortlichkeit für IT-Sicherheit klar geregelt
+- [ ] Geschäftsführung billigt Sicherheitsmaßnahmen
+---
+## Checkliste 6: Datenpanne — Sofortmaßnahmen
+**Diese Checkliste ist zeitkritisch! Frist: 72 Stunden für Behördenmeldung (Art. 33 DSGVO)**
+### Sofort (erste Stunden)
+- [ ] Datenpanne identifiziert und dokumentiert (Zeitpunkt, Art, Umfang)
+- [ ] Interne Meldekette aktiviert (IT-Sicherheit, Geschäftsführung, DSB)
+- [ ] Zugang für Angreifer beenden / Vorfall eindämmen
+- [ ] Beweise sichern (Logs, Screenshots) — ohne Manipulation!
+- [ ] Erste Risikoeinschätzung: Welche Daten? Wie viele Betroffene? Welche Risiken?
+### Innerhalb 24 Stunden (NIS2 für betroffene Unternehmen)
+- [ ] NIS2-Erstmeldung ans BSI (falls NIS2-pflichtig)
+### Innerhalb 72 Stunden (Art. 33 DSGVO)
+- [ ] Risikoeinschätzung abgeschlossen
+- [ ] Entscheidung: Meldung an Aufsichtsbehörde erforderlich?
+  - Meldung NICHT nötig, wenn: Kein Risiko für Betroffene (z.B. verschlüsselte Daten, Verlust nicht sensitiver Infos)
+  - Meldung NÖTIG, wenn: Risiko für Rechte und Freiheiten betroffener Personen
+- [ ] Meldung an zuständige Datenschutzbehörde (Kontaktdaten → dsgvo.md)
+- [ ] Inhalt der Meldung (Art. 33 Abs. 3):
+  - [ ] Art der Verletzung
+  - [ ] Kategorien und ungefähre Anzahl der Betroffenen
+  - [ ] Kategorien und ungefähre Anzahl der betroffenen Datensätze
+  - [ ] Name und Kontaktdaten des DSB oder sonstiger Anlaufstelle
+  - [ ] Wahrscheinliche Folgen der Verletzung
+  - [ ] Ergriffene oder geplante Maßnahmen
+### Bei hohem Risiko: Betroffene informieren (Art. 34 DSGVO)
+- [ ] Einschätzung: Voraussichtlich hohes Risiko für Betroffene?
+  - Ja → Unverzügliche Benachrichtigung der Betroffenen
+  - Nein → Keine Pflicht (aber dokumentieren warum)
+- [ ] Inhalt der Benachrichtigung:
+  - [ ] Art der Datenpanne (verständlich)
+  - [ ] Kontaktdaten des DSB
+  - [ ] Wahrscheinliche Folgen
+  - [ ] Getroffene Maßnahmen (auch Tipps für Betroffene)
+### Nacharbeitung
+- [ ] Datenpannen-Register aktualisiert (Art. 33 Abs. 5 DSGVO — immer!)
+- [ ] Interne Untersuchung: Wie konnte es passieren?
+- [ ] Maßnahmen zur Verhinderung ähnlicher Vorfälle umgesetzt
+- [ ] Kommunikation mit Anwalt über mögliche Haftungsrisiken
+---
+## Checkliste 7: Betroffenenanfragen bearbeiten (Art. 12-22 DSGVO)
+**Frist: 1 Monat ab Eingang (verlängerbar um 2 Monate bei Komplexität)**
+### Eingangsbearbeitung
+- [ ] Anfrage identifiziert und als Betroffenenantrag eingestuft
+- [ ] Datum des Eingangs dokumentiert
+- [ ] Fristdatum berechnet (1 Monat = gleicher Tag des Folgemonats)
+- [ ] Identität der anfragenden Person verifiziert (nicht übertrieben, aber angemessen)
+### Art der Anfrage bestimmen
+- [ ] Auskunft (Art. 15): Welche Daten? Woher? Wofür? Wie lange? Wer bekommt sie?
+- [ ] Berichtigung (Art. 16): Welche Daten sollen korrigiert werden?
+- [ ] Löschung (Art. 17): Gilt Ausnahme (Archivierung, Rechtsanspruch, öffentl. Interesse)?
+- [ ] Einschränkung (Art. 18): Gilt bis zur Klärung eines Streits
+- [ ] Datenübertragbarkeit (Art. 20): Nur bei Einwilligung oder Vertrag als Rechtsgrundlage
+- [ ] Widerspruch (Art. 21): Bei berechtigtem Interesse oder Direktwerbung
+### Antwort
+- [ ] Innerhalb der Frist geantwortet
+- [ ] Antwort unentgeltlich (Ausnahme: offensichtlich unbegründet/exzessiv)
+- [ ] Kopie der Daten in strukturiertem, maschinenlesbarem Format (bei Art. 15/20)
+- [ ] Ggf. Ablehnung begründet + Hinweis auf Beschwerderecht
+---
+## Schnell-Referenz: Zuständige Aufsichtsbehörden nach Bundesland
+(Vollständige Liste mit Links → dsgvo.md)
+| Firmensitz | Zuständige Behörde |
+|-----------|-------------------|
+| Bayern | BayLDA (private Stellen): lda.bayern.de |
+| Berlin | BlnBDI: datenschutz-berlin.de |
+| NRW | LDI NRW: ldi.nrw.de |
+| BW | LfDI BW: datenschutz.bwl.de |
+| Hamburg | HmbBfDI: datenschutz.hamburg.de |
+| Hessen | HBDI: datenschutz.hessen.de |
+| Sachsen | SDTB: datenschutz.sachsen.de |
+| Alle anderen | → dsgvo.md für vollständige Liste |

package/skills/compliance/aegis-native/brutaler-anwalt/references/dsgvo.md ADDED Viewed

@@ -0,0 +1,238 @@
+# DSGVO & Datenschutzrecht — Referenz
+> Lade diese Datei bei allen datenschutzrechtlichen Fragen: Datenpannen, Einwilligung, Betroffenenrechte, Auftragsverarbeitung, Drittlandtransfer, Cookie-Consent, Datenschutzerklärung, Bußgelder, AVV.
+---
+## Primäre Rechtsquellen
+### DSGVO (Datenschutz-Grundverordnung)
+- **Volltext**: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679
+- **Offiziell auf EUR-Lex (alle Sprachen)**: https://eur-lex.europa.eu/eli/reg/2016/679/oj
+- Gilt seit 25. Mai 2018 in der gesamten EU — unmittelbar anwendbares Recht
+- Öffnungsklauseln erlauben nationale Ergänzungen (→ BDSG)
+### BDSG (Bundesdatenschutzgesetz 2018)
+- **Volltext**: https://www.gesetze-im-internet.de/bdsg_2018/
+- Ergänzt und konkretisiert die DSGVO im deutschen Recht
+- Besonders relevant: Beschäftigtendatenschutz (§ 26 BDSG), Videoüberwachung (§ 4 BDSG), Scoring (§ 31 BDSG)
+### TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)
+- **Volltext**: https://www.gesetze-im-internet.de/ttdsg/
+- Regelt Cookies und ähnliche Technologien (§ 25 TTDSG)
+- Umsetzt ePrivacy-Richtlinie in nationales Recht
+- **Merksatz**: § 25 TTDSG gilt für den Zugriff auf Endgeräte (Cookies, Tracking), DSGVO gilt für die Verarbeitung der dabei erhobenen Daten
+---
+## DSGVO Artikel-Übersicht (häufig relevant)
+### Kapitel I — Allgemeine Bestimmungen
+| Artikel | Thema | Kernaussage |
+|---------|-------|-------------|
+| Art. 1 | Gegenstand und Ziele | Schutz natürlicher Personen bei der Verarbeitung |
+| Art. 2 | Sachlicher Anwendungsbereich | Gilt für automatisierte Verarbeitung personenbezogener Daten |
+| Art. 3 | Räumlicher Anwendungsbereich | Marktortprinzip: gilt auch für Nicht-EU-Unternehmen bei EU-Nutzern |
+| Art. 4 | Begriffsbestimmungen | Definitionen: personenbezogene Daten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter... |
+### Kapitel II — Grundsätze
+| Artikel | Thema | Kernaussage |
+|---------|-------|-------------|
+| Art. 5 | Grundsätze für die Verarbeitung | Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Rechenschaftspflicht |
+| Art. 6 | Rechtmäßigkeit der Verarbeitung | Die 6 Rechtsgrundlagen: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe, berechtigte Interessen |
+| Art. 7 | Bedingungen für die Einwilligung | Freiwillig, spezifisch, informiert, eindeutig — jederzeit widerrufbar |
+| Art. 8 | Bedingungen für Einwilligung von Kindern | Unter 16 Jahren (DE: 16 J.) → elterliche Einwilligung nötig |
+| Art. 9 | Besondere Kategorien | Gesundheitsdaten, biometrische Daten, Gewerkschaft, Religion, politische Meinung → erhöhter Schutz |
+| Art. 10 | Straf- und Verurteilungsdaten | Nur durch Behörden oder unter behördlicher Aufsicht |
+### Kapitel III — Rechte der betroffenen Person
+| Artikel | Thema | Frist |
+|---------|-------|-------|
+| Art. 12 | Transparenz und Modalitäten | Auskunft: 1 Monat (verlängerbar auf 3 Monate) |
+| Art. 13 | Informationspflicht bei Direkterhebung | Bei Datenerhebung → Datenschutzerklärung |
+| Art. 14 | Informationspflicht bei Dritterhebung | Innerhalb 1 Monat nach Erhebung |
+| Art. 15 | Auskunftsrecht | Kopie der Daten + Informationen über Verarbeitung |
+| Art. 16 | Berichtigungsrecht | Unverzüglich unrichtige Daten korrigieren |
+| Art. 17 | Löschrecht ("Recht auf Vergessenwerden") | Wenn kein Zweck mehr, Widerruf Einwilligung, Widerspruch, Rechtsverstoß |
+| Art. 18 | Einschränkung der Verarbeitung | Einschränkung statt Löschung in bestimmten Fällen |
+| Art. 20 | Datenportabilität | Strukturiertes, maschinenlesbares Format |
+| Art. 21 | Widerspruchsrecht | Gegen Verarbeitung auf Basis berechtigter Interessen (Art. 6(1)(f)) |
+| Art. 22 | Automatisierte Entscheidungen | Recht auf menschliche Überprüfung (z.B. Scoring, KI-Entscheidungen) |
+### Kapitel IV — Verantwortlicher und Auftragsverarbeiter
+| Artikel | Thema | Kernaussage |
+|---------|-------|-------------|
+| Art. 24 | Verantwortlichkeit des Verantwortlichen | Technische und organisatorische Maßnahmen (TOMs) implementieren |
+| Art. 25 | Datenschutz durch Technikgestaltung | Privacy by Design & Privacy by Default |
+| Art. 26 | Gemeinsam Verantwortliche | Schriftliche Vereinbarung über Zuständigkeiten |
+| Art. 28 | Auftragsverarbeiter | AVV (Auftragsverarbeitungsvertrag) zwingend erforderlich |
+| Art. 29 | Verarbeitung unter Aufsicht | Auftragsverarbeiter darf nur nach Weisung handeln |
+| Art. 30 | Verzeichnis der Verarbeitungstätigkeiten (VVT) | Ab 250 Mitarbeitern Pflicht; de facto immer empfohlen |
+| Art. 32 | Sicherheit der Verarbeitung | Angemessene TOMs: Verschlüsselung, Pseudonymisierung, Verfügbarkeit, Belastbarkeit |
+| Art. 33 | Meldung bei Datenpanne an Behörde | **72 Stunden** nach Kenntnis an zuständige Aufsichtsbehörde |
+| Art. 34 | Benachrichtigung betroffener Personen | Unverzüglich bei voraussichtlich hohem Risiko |
+| Art. 35 | Datenschutz-Folgenabschätzung (DSFA) | Bei hohem Risiko für Betroffene — Muss-Liste der Behörden beachten |
+| Art. 36 | Vorherige Konsultation | Bei nach DSFA verbleibendem hohen Risiko → Behörde konsultieren |
+| Art. 37 | Datenschutzbeauftragter (DSB) benennen | Pflicht: öffentliche Stellen, umfangreiche Verarbeitung, besondere Kategorien |
+| Art. 38-39 | Stellung und Aufgaben des DSB | Weisungsfreiheit, Verschwiegenheit, erste Anlaufstelle |
+### Kapitel V — Drittlandübermittlungen
+| Artikel | Thema | Kernaussage |
+|---------|-------|-------------|
+| Art. 44 | Allgemeines Übermittlungsprinzip | Nur bei Angemessenheitsbeschluss oder geeigneten Garantien |
+| Art. 45 | Angemessenheitsbeschluss | EU-Kommission stellt fest, ob Drittland angemessenes Schutzniveau bietet |
+| Art. 46 | Geeignete Garantien | Standardvertragsklauseln (SCC), verbindliche interne Datenschutzvorschriften (BCR) |
+| Art. 49 | Ausnahmen | Nur in engen Ausnahmefällen (Einwilligung, Vertragserfüllung, wichtiges öffentliches Interesse) |
+### Kapitel VI-VIII — Aufsichtsbehörden und Rechtsbehelfe
+| Artikel | Thema | Kernaussage |
+|---------|-------|-------------|
+| Art. 51-59 | Aufsichtsbehörden | Jeder Mitgliedstaat hat Behörde; DE: Landesbehörden + BfDI |
+| Art. 77 | Beschwerderecht | Betroffene können sich an Aufsichtsbehörde wenden |
+| Art. 78 | Gerichtlicher Rechtsbehelf gegen Behörden | Klage gegen Entscheidungen der Aufsichtsbehörde |
+| Art. 79 | Gerichtlicher Rechtsbehelf gegen Verantwortliche | Klage direkt gegen Unternehmen |
+| Art. 82 | Haftung und Schadensersatz | Materieller und immaterieller Schaden (→ viele EuGH-Urteile!) |
+| Art. 83 | Geldbußen | Bis zu 20 Mio. € oder 4% des globalen Jahresumsatzes |
+| Art. 84 | Sanktionen | Nationale Regelungen für nicht durch Art. 83 erfasste Verstöße |
+---
+## Bußgeldrahmen (Art. 83 DSGVO)
+### Stufe 1 — bis 10 Mio. € oder 2% Jahresumsatz (der höhere Betrag)
+- Verstoß gegen Art. 8, 11, 25-39, 42, 43 (z.B. kein AVV, kein VVT, keine DSFA)
+### Stufe 2 — bis 20 Mio. € oder 4% Jahresumsatz (der höhere Betrag)
+- Verstoß gegen Art. 5-7, 9, 12-22, 44-49, 58 (z.B. keine Rechtsgrundlage, Verletzung Betroffenenrechte)
+**Wichtig**: Bei kleinen Unternehmen und KMU tendieren Behörden zu niedrigeren Bußgeldern; Kooperation und schnelle Abhilfe können strafmildernd wirken.
+---
+## Deutsche Aufsichtsbehörden
+| Bundesland | Behörde | Website |
+|-----------|---------|---------|
+| Bundesebene (öffentliche Stellen) | BfDI (Bundesbeauftragte für den Datenschutz) | https://www.bfdi.bund.de |
+| Baden-Württemberg | LfDI BW | https://www.baden-wuerttemberg.datenschutz.de |
+| Bayern (privat) | BayLDA | https://www.lda.bayern.de |
+| Bayern (öffentlich) | BayLfD | https://www.datenschutz-bayern.de |
+| Berlin | BlnBDI | https://www.datenschutz-berlin.de |
+| Brandenburg | LDA BB | https://www.lda.brandenburg.de |
+| Bremen | LfDI Bremen | https://www.datenschutz.bremen.de |
+| Hamburg | HmbBfDI | https://www.datenschutz.hamburg.de |
+| Hessen | HBDI | https://datenschutz.hessen.de |
+| Mecklenburg-Vorpommern | LfDI MV | https://www.datenschutz-mv.de |
+| Niedersachsen | LfD Niedersachsen | https://lfd.niedersachsen.de |
+| Nordrhein-Westfalen | LDI NRW | https://www.ldi.nrw.de |
+| Rheinland-Pfalz | LfDI RLP | https://www.datenschutz.rlp.de |
+| Saarland | ULD Saarland | https://www.datenschutz.saarland.de |
+| Sachsen | SDTB | https://www.datenschutz.sachsen.de |
+| Sachsen-Anhalt | LfDI LSA | https://datenschutz.sachsen-anhalt.de |
+| Schleswig-Holstein | ULD SH | https://www.datenschutzzentrum.de |
+| Thüringen | TLfDI | https://www.tlfdi.de |
+---
+## Standardvertragsklauseln (SCC) für Drittlandtransfer
+- **EU-Kommission SCC (2021)**: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914
+- Gilt für: Controller-to-Controller (Modul 1), Controller-to-Processor (Modul 2), Processor-to-Controller (Modul 3), Processor-to-Processor (Modul 4)
+- Zusätzlich: Transfer Impact Assessment (TIA) empfohlen für Hochrisiko-Länder (z.B. USA)
+### USA-spezifisch: EU-US Data Privacy Framework
+- Angemessenheitsbeschluss seit Juli 2023 für zertifizierte US-Unternehmen
+- Prüfe Zertifizierung unter: https://www.dataprivacyframework.gov
+- **Achtung**: Klage beim EuGH durch noyb (Max Schrems) erwartet — politische Entwicklung beobachten
+---
+## Typische Prüfpunkte DSGVO-Compliance
+### Datenschutzerklärung (Art. 13/14)
+- [ ] Verantwortlicher vollständig benannt (Name, Adresse, Kontakt)
+- [ ] Datenschutzbeauftragter genannt (falls vorhanden)
+- [ ] Zwecke und Rechtsgrundlagen für jede Verarbeitung angegeben
+- [ ] Empfänger / Kategorien von Empfängern genannt
+- [ ] Drittlandtransfer transparent gemacht (inkl. Garantien)
+- [ ] Speicherdauer angegeben
+- [ ] Alle Betroffenenrechte beschrieben (Art. 15-22)
+- [ ] Beschwerderecht bei Aufsichtsbehörde erwähnt
+- [ ] Widerrufsrecht für Einwilligungen erklärt
+- [ ] Automatisierte Entscheidungen / Profiling offengelegt (falls vorhanden)
+### Auftragsverarbeitungsvertrag (AVV, Art. 28)
+- [ ] Schriftlich abgeschlossen (elektronisch ausreichend)
+- [ ] Gegenstand, Dauer, Art und Zweck der Verarbeitung bestimmt
+- [ ] Art der personenbezogenen Daten und Kategorien von Betroffenen
+- [ ] Pflichten und Rechte des Verantwortlichen
+- [ ] Weisungsgebundenheit des Auftragsverarbeiters
+- [ ] Vertraulichkeit der verarbeitenden Personen
+- [ ] TOMs gemäß Art. 32
+- [ ] Sub-Auftragsverarbeiter-Regelung
+- [ ] Unterstützung bei Betroffenenanfragen
+- [ ] Löschung oder Rückgabe nach Auftragsende
+- [ ] Nachweispflichten und Audits
+---
+## Häufige DSGVO-Verstöße und Risiken
+| Verstoß | Artikel | Bußgeldrisiko |
+|---------|---------|--------------|
+| Kein AVV mit Cloud-Anbieter | Art. 28 | Stufe 1 |
+| Keine Rechtsgrundlage für Verarbeitung | Art. 6 | Stufe 2 |
+| Tracking ohne Einwilligung (§ 25 TTDSG) | § 25 TTDSG + Art. 6 | Stufe 2 |
+| Datenpanne nicht gemeldet | Art. 33 | Stufe 1 |
+| Auskunftsanfrage ignoriert | Art. 15 | Stufe 2 |
+| Keine DSFA bei Hochrisikoverarbeitung | Art. 35 | Stufe 1 |
+| Drittlandtransfer ohne Garantien (z.B. Google Analytics alt) | Art. 44-46 | Stufe 2 |
+| Unzulässige Einwilligung (vorausgefüllt, nicht widerrufbar) | Art. 7 | Stufe 2 |
+| Kein VVT | Art. 30 | Stufe 1 |
+| Fehlender / unqualifizierter DSB | Art. 37 | Stufe 1 |
+---
+## Wichtige Urteile und Leitlinien
+### EuGH-Entscheidungen
+- **Schrems II (C-311/18, 2020)**: Privacy Shield ungültig → SCC + TIA erforderlich für US-Transfer
+- **Meta Plattformen / Personalisierende Werbung (C-252/21, 2023)**: Berechtigtes Interesse für Werbung eingeschränkt
+- **DSGVO-Schadensersatz (C-300/21, 2023)**: Immaterieller Schaden auch ohne nachweisbaren materiellen Schaden möglich
+### DSK-Beschlüsse (Datenschutzkonferenz)
+- Orientierungshilfe Cookies: https://www.datenschutzkonferenz-online.de
+- Hinweise zu Tracking: https://www.datenschutzkonferenz-online.de
+### EDPB-Leitlinien (Europäischer Datenschutzausschuss)
+- Alle Leitlinien: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations_de
+---
+## Cookie-Consent (§ 25 TTDSG)
+### Regelung
+- **§ 25 Abs. 1 TTDSG**: Einwilligung erforderlich für Zugriff auf Endgerät-Informationen (Cookies, Pixel, Fingerprinting)
+- **§ 25 Abs. 2 TTDSG**: Ausnahme für technisch notwendige Cookies (keine Einwilligung nötig)
+### Anforderungen an gültigen Consent
+- Informiert: Nutzer muss wissen, wer, warum, was speichert
+- Freiwillig: Kein "Cookie-Wall" der Inhalte sperrt (OLG München: zulässig wenn gleichwertige Alternative)
+- Vor der Verarbeitung: Opt-in, nicht Opt-out
+- Eindeutig: Aktive Handlung (kein Pre-Tick, kein Weitersurfen als Einwilligung)
+- Widerrufbar: Jederzeit so einfach wie Einwilligung
+- Dokumentiert: Nachweis der Einwilligung
+### Technisch notwendige Cookies (keine Einwilligung)
+- Session-Cookies für Login
+- Warenkorb-Cookies
+- Load-Balancing-Cookies
+- CSRF-Schutz-Cookies
+- Cookie-Consent selbst
+### Einwilligungspflichtige Cookies (immer)
+- Analytics (Google Analytics, Matomo mit vollständiger IP)
+- Marketing / Retargeting
+- A/B-Testing mit personenbeziehbaren Daten
+- Social-Media-Plugins die Daten senden
+- Komfort-Cookies (Sprachpräferenz etc. → grenzwertig)

package/skills/compliance/aegis-native/brutaler-anwalt/references/international.md ADDED Viewed

@@ -0,0 +1,163 @@
+# Internationales Datenschutz- und Compliance-Recht
+> Lade diese Datei wenn die Site internationale Nutzer adressiert oder
+> Drittlandtransfer beinhaltet (US-CDN, US-Analytics, UK-Hoster, Schweiz-Server).
+---
+## Drittlandtransfer (DSGVO Art. 44–49)
+### Kerngrundsatz
+Personenbezogene Daten duerfen nur in Drittlaender uebermittelt werden, wenn:
+1. **Angemessenheitsbeschluss** der EU-Kommission existiert (Art. 45), ODER
+2. **Geeignete Garantien** vorliegen (Art. 46): SCC, BCR, Verhaltensregeln, Zertifizierungen, ODER
+3. **Ausnahmefall** nach Art. 49 (selten, eng auszulegen).
+### Drittlaender mit Angemessenheitsbeschluss (Stand 2026)
+- Andorra, Argentinien, Faroeer, Guernsey, Isle of Man, Israel, Japan, Jersey, Neuseeland, Suedkorea, Schweiz, Uruguay, UK (mit Vorbehalt), USA (DPF — nur fuer zertifizierte Unternehmen)
+### Standardvertragsklauseln (SCC)
+- EU-Kommissions-SCC 2021: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914
+- 4 Module: C2C, C2P, P2C, P2P
+- Plus: **Transfer Impact Assessment (TIA)** vom EuGH gefordert (Schrems II), keine formelle Pflicht aber Best Practice
+### EU-US Data Privacy Framework (DPF)
+- Aktiv seit 10.07.2023 (EU-Kommissions-Beschluss 2023/1795)
+- Loest Privacy Shield ab (durch Schrems II ungueltig)
+- **Pruefung**: Ist der US-Empfaenger DPF-zertifiziert? Pruefe unter https://www.dataprivacyframework.gov
+- **Risiko**: noyb (Schrems) hat Klage angekuendigt — kann erneut kippen
+- **Best Practice**: Trotz DPF auch SCC abschliessen, TIA dokumentieren
+### Drittland-Pruefpunkte fuer Skill
+- [ ] Welche Drittlaender im Tech-Stack? (CDN, Cloud-Hosting, Analytics, Email-Provider, CRM)
+- [ ] Pro Drittland: Angemessenheitsbeschluss ODER SCC ODER BCR?
+- [ ] Bei US-Empfaengern: DPF-Zertifizierung gepruef? Plus SCC als Backup?
+- [ ] In Datenschutzerklaerung: Drittlandtransfer transparent erwaehnt + Garantien benannt?
+- [ ] AVV mit Subprozessoren-Liste (oft ueberseeisch)?
+- [ ] TIA dokumentiert (besonders bei US-Hochrisiko-Diensten)?
+### Typische Falle: US-CDN / US-Analytics
+- Cloudflare, Vercel-Edge: in der Regel EU-Edge bevorzugt, US-Edge nur Fallback. Konfiguration pruefen!
+- Google Analytics 4 (GA4): Server in EU per default (seit 2024), aber Datenkopie an US moeglich. Server-Side-Tagging empfohlen.
+- AWS S3: Standardmaessig EU-Region waehlbar (eu-central-1). Nicht US-East default belassen.
+---
+## UK GDPR (Vereinigtes Koenigreich)
+### Status
+- Nach Brexit: UK GDPR (im Wesentlichen Kopie der EU-DSGVO, mit nationalen Anpassungen)
+- Daten-Adequacy-Decision der EU fuer UK: bis 2025+ verlaengert
+- ICO (Information Commissioner's Office) ist Aufsicht: https://ico.org.uk
+### Unterschiede zur EU-DSGVO
+- Kein Datenschutzbeauftragter-Pflicht-Schwellwert (UK-spezifisch)
+- ICO-Bussgeldrahmen aehnlich (bis £17,5 Mio. oder 4% globaler Umsatz)
+- UK-spezifische SCCs (International Data Transfer Agreement IDTA oder UK Addendum zu EU-SCC)
+### Pruefpunkte
+- [ ] UK-Nutzer adressiert? → UK GDPR-Compliance erforderlich
+- [ ] UK als Drittland-Empfaenger? → Adequacy-Decision pruefen (2025+ verlaengert)
+- [ ] ICO-Hinweis in Datenschutzerklaerung erwaehnen (fuer UK-Nutzer)?
+---
+## Schweizer Datenschutzgesetz (revDSG)
+### Status
+- Revidiertes DSG seit 01.09.2023 in Kraft
+- An DSGVO angelehnt, aber teilweise unterschiedlich
+### Unterschiede
+- Kein Datenschutzbeauftragter-Pflicht (anders als DSGVO § 37)
+- Bussgelder: bis 250.000 CHF (anders Art. 83 DSGVO bis 4% Umsatz)
+- Personalisationspflicht: Verantwortlicher kann persoenlich strafrechtlich belangt werden
+### Pruefpunkte
+- [ ] Schweizer Nutzer adressiert? → revDSG-Compliance
+- [ ] DSGVO ueblicherweise auch revDSG-konform, aber: Datenschutzerklaerung CH-spezifisch erwaehnt?
+- [ ] EDOEB (Eidgenoessischer Datenschutz- und Oeffentlichkeitsbeauftragter) als Aufsicht erwaehnt?
+---
+## CCPA / CPRA (Kalifornien)
+### Status
+- California Consumer Privacy Act (CCPA) seit 2020
+- California Privacy Rights Act (CPRA) seit 2023
+- Kalifornische Aufsicht: California Privacy Protection Agency (CPPA)
+### Anwendung auf Nicht-US-Unternehmen
+Wenn Site:
+- California-Resident (Bewohner) adressiert UND
+- Schwellwerte erfuellt:
+  - Jahresumsatz > 25 Mio. USD ODER
+  - Verarbeitung von 100.000+ California-Resident-Daten/Geraeten ODER
+  - 50%+ Einkommen aus Daten-Verkauf
+### Pflichten (vereinfacht)
+- "Do Not Sell or Share My Personal Information"-Link auf Homepage
+- Privacy Notice mit CCPA-spezifischen Rechten (Auskunft, Loeschung, Opt-Out)
+- Sale/Share-Definition ist breit: auch Datenuebertragung an Dritte fuer Targeting-Werbung kann „Verkauf" sein
+- Annual Audit (CPRA) bei grossen Verarbeitern
+### Pruefpunkte
+- [ ] California-Resident adressiert + Schwellwert erfuellt?
+- [ ] „Do Not Sell or Share"-Link?
+- [ ] CCPA-spezifischer Privacy Notice (oder Erweiterung der DSE)?
+- [ ] Opt-Out-Mechanismus implementiert?
+---
+## Weitere internationale Regelungen (Kurz-Uebersicht)
+| Region | Gesetz | Aufsicht | Bussgeldrahmen | Wichtigster Pruefpunkt |
+|--------|--------|----------|----------------|-----------------------|
+| Brasilien | LGPD (Lei Geral de Protecao de Dados) | ANPD | bis 2% Umsatz brasilianischer Operationen, max 50 Mio. BRL | Privacy Notice in Portugiesisch, DPO falls Schwellwerte |
+| Kanada | PIPEDA | OPC | bis 100.000 CAD | Privacy Notice, Consent-Standard |
+| Japan | APPI | PPC | bis 100 Mio. JPY | Cross-Border-Transfer mit Consent oder Adequacy |
+| Australien | Privacy Act | OAIC | bis 50 Mio. AUD | APP-Compliance, Privacy Policy |
+| Indien | DPDP Act 2023 | Data Protection Board | bis 250 Crore INR (~25 Mio. EUR) | Consent in Lokalsprachen, Data Localization fuer „Sensitive" |
+| Suedafrika | POPIA | Information Regulator | bis 10 Mio. ZAR | Consent + Notification |
+| China | PIPL | CAC | bis 50 Mio. CNY oder 5% Umsatz | Cross-Border-Transfer-Pflichten, Local-Storage fuer „Important Data" |
+---
+## Cross-Region Best Practices
+### Universal Privacy Notice
+- Sprachen: DE + EN + bei US-Targeting auch Spanisch/Mexikanisch
+- Klare Sektionen pro Rechtsraum (DSGVO / UK / CH / CCPA)
+- Aufsichtsbehoerden-Liste pro Region
+### Data Mapping
+- Inventarisiere fuer jede Datenkategorie: Quelle, Verarbeitungszweck, Empfaenger, Speicherdauer, Rechtsgrundlage je Region.
+### Multi-Region SCCs
+- EU-EU-SCCs decken EU + EWR
+- UK-Addendum oder IDTA fuer UK
+- Schweiz: oft EU-SCCs anerkannt mit Schweizer Addendum
+---
+## Skill-Pattern bei Drittland-Befund
+Wenn HUNTER findet, dass Drittland-Empfaenger ohne Garantie genutzt wird:
+```
+Finding: Drittlandtransfer ohne dokumentierte Garantien
+- HUNTER: [Empfaenger X in Y-Land], kein SCC erkennbar, DSE erwaehnt Drittland nicht
+- Rechtsgrundlage: Art. 44–46 DSGVO
+- Az.: EuGH C-311/18 Schrems II
+- Bussgeldstufe: 2 (bis 4% Jahresumsatz, Art. 83 Abs. 5)
+- CHALLENGER-Test:
+  - Bedingung A: Empfaenger im Drittland? [erfuellt/nicht]
+  - Bedingung B: Angemessenheitsbeschluss? [erfuellt/nicht]
+  - Bedingung C: SCC abgeschlossen? [erfuellt/nicht]
+  - Bedingung D: BCR oder Zertifizierung? [erfuellt/nicht]
+  - Verdict: [verified/disputed]
+- Fix:
+  1. SCC abschliessen (EU-SCC 2021, passendes Modul)
+  2. TIA durchfuehren + dokumentieren
+  3. Datenschutzerklaerung erweitern: Drittland-Empfaenger + Garantien benennen
+```