@aegis-scan/skills 0.1.1 → 0.2.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/it-recht.md

@@ -0,0 +1,267 @@
+# IT-Recht Deutschland — Referenz
+
+> Lade diese Datei bei: Softwareverträgen, SaaS-Verträgen, Lizenzrecht, Abmahnungen, IT-Sicherheit, Cloud-Recht, Urheberrecht an Software, Domain-Streitigkeiten, App-Stores, Open Source, KI-Recht, Impressum/DDG, DSA-Plattformhaftung, ePrivacy.
+
+---
+
+## Primäre Rechtsquellen IT-Recht
+
+### Telemedienrecht / Digitale Dienste
+| Gesetz | Volltext | Relevanz |
+|--------|---------|---------|
+| **TMG** (Telemediengesetz) — bis 28.5.2024 gültig | https://www.gesetze-im-internet.de/tmg/ | Impressumspflicht (§ 5), Haftung für Inhalte (§§ 7-10) — **Achtung: abgelöst durch DDG** |
+| **DDG** (Digitale-Dienste-Gesetz) — seit 14.3.2024 | https://www.gesetze-im-internet.de/ddg/ | Impressumspflicht § 5 (= TMG § 5), Umsetzung des DSA |
+| **DSA** (Digital Services Act, EU 2022/2065) | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2065 | Plattformhaftung, Transparenzpflichten, Risikoaudits für große Plattformen |
+| **DMA** (Digital Markets Act, EU 2022/1925) | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925 | Verpflichtungen für "Gatekeeper" (Apple, Google, Meta, Amazon...) |
+| **TTDSG** | https://www.gesetze-im-internet.de/ttdsg/ | Cookies, E-Privacy (→ auch dsgvo.md) |
+
+### IT-Sicherheit
+| Gesetz / Norm | Volltext | Relevanz |
+|--------|---------|---------|
+| **BSIG** (BSI-Gesetz) | https://www.gesetze-im-internet.de/bsig_2009/ | Kritische Infrastrukturen, Meldepflichten, BSI-Befugnisse |
+| **NIS2-Umsetzungsgesetz (NIS2UmsuCG)** | In Kraft seit Oktober 2024 | Erweiterte Sicherheits- und Meldepflichten für viele Unternehmen |
+| **NIS2-Richtlinie (EU 2022/2555)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555 | EU-Grundlage für NIS2 |
+| **IT-Sicherheitsgesetz 2.0** | Änderungen des BSIG | KRITIS-Betreiber, Systeme zur Angriffserkennung |
+| **ISO/IEC 27001:2022** | https://www.iso.org/standard/27001 | Internationaler Standard für Informationssicherheits-Management (ISMS) — kein Gesetz, aber Maßstab für "angemessene TOMs" nach Art. 32 DSGVO und NIS2 |
+| **BSI IT-Grundschutz** | https://www.bsi.de/grundschutz | Deutsches Äquivalent zu ISO 27001 — als Nachweis angemessener Sicherheitsmaßnahmen anerkannt |
+
+### ePrivacy
+| Gesetz | Volltext | Relevanz |
+|--------|---------|---------|
+| **TTDSG** (Telekommunikation-Telemedien-Datenschutz-Gesetz) | https://www.gesetze-im-internet.de/ttdsg/ | § 25: Einwilligung für Cookies / Endgerätezugriff; § 24: Öffentliche Netze |
+| **ePrivacy-Richtlinie (2002/58/EG)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058 | EU-Grundlage, durch TTDSG in DE umgesetzt |
+| **ePrivacy-Verordnung (geplant)** | Noch nicht in Kraft (Stand: 2025) | Soll ePrivacy-Richtlinie ersetzen und Cookie-Regeln EU-weit vereinheitlichen — politisch noch blockiert |
+
+**Praxis-Hinweis ePrivacy:** Bis die ePrivacy-Verordnung in Kraft tritt, gilt das TTDSG. Der Entwurf der Verordnung kann sich noch erheblich ändern — aktuelle Entwicklungen beobachten via https://www.edpb.europa.eu
+
+### Urheberrecht (Software & Inhalte)
+| Gesetz | Volltext | Relevanz |
+|--------|---------|---------|
+| **UrhG** (Urheberrechtsgesetz) | https://www.gesetze-im-internet.de/urhg/ | Schutz von Computerprogrammen (§§ 69a-69g), Datenbankwerken (§§ 87a-87e) |
+| **UrhDaG** (Urheberrechts-Diensteanbieter-Gesetz) | https://www.gesetze-im-internet.de/urhdag/ | Upload-Filter, Lizenzen für Plattformen |
+
+### Wettbewerbsrecht / Abmahnungen
+| Gesetz | Volltext | Relevanz |
+|--------|---------|---------|
+| **UWG** (Gesetz gegen unlauteren Wettbewerb) | https://www.gesetze-im-internet.de/uwg_2004/ | Abmahnungen, irreführende Werbung, Spam, Impressumsmängel |
+| **GWB** (Gesetz gegen Wettbewerbsbeschränkungen) | https://www.gesetze-im-internet.de/gwb/ | Kartellrecht, Missbrauch marktbeherrschender Stellung |
+
+### Vertragsrecht (IT-spezifisch)
+| Gesetz | Volltext | Relevanz |
+|--------|---------|---------|
+| **BGB** | https://www.gesetze-im-internet.de/bgb/ | Kauf-, Werk-, Dienst-, Mietvertrag für Software; AGB-Recht (§§ 305-310) |
+| **HGB** | https://www.gesetze-im-internet.de/hgb/ | Handelsvertreter, kaufmännische Sorgfalt, Rügeobliegenheit |
+
+### KI-Recht (neu)
+| Gesetz | Volltext | Relevanz |
+|--------|---------|---------|
+| **EU AI Act (EU 2024/1689)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689 | Risikobasierter Ansatz für KI-Systeme; ab 2025/2026 schrittweise in Kraft |
+| **Produkthaftungsrichtlinie (neu, 2024)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L2853 | Haftung auch für Software und KI-Systeme |
+
+---
+
+## Impressumspflicht (§ 5 DDG, vormals § 5 TMG)
+
+### Wer braucht ein Impressum?
+Alle, die **geschäftsmäßig** Telemedien (Websites, Apps, Social Media) anbieten — auch ohne Gewinnerzielungsabsicht bei wirtschaftlichem Bezug.
+
+**Immer Impressumspflicht:** Online-Shops, Unternehmenswebsites, Blogs mit Werbung, SaaS-Anwendungen, Apps im Store
+
+**Keine Impressumspflicht (Ausnahme):** Rein private Websites ohne jeden geschäftlichen Bezug
+
+### Pflichtangaben (§ 5 Abs. 1 DDG)
+- [ ] Name und Anschrift (bei juristischen Personen: Rechtsform, Vertretungsberechtigte)
+- [ ] Kontaktdaten (E-Mail-Adresse — Telefonnummer nicht mehr zwingend, aber empfohlen)
+- [ ] Zuständige Aufsichtsbehörde (falls vorhanden)
+- [ ] Handelsregister, Vereinsregister oder Partnerschaftsregister + Nummer (falls eingetragen)
+- [ ] Umsatzsteuer-ID (falls vorhanden, § 27a UStG)
+- [ ] Wirtschafts-ID (falls vorhanden, § 139c AO)
+- [ ] Inhaltlich Verantwortlicher nach § 18 Abs. 2 MStV (bei journalistisch-redaktionellen Inhalten)
+
+### Platzierung
+- Leicht erkennbar, unmittelbar erreichbar, dauerhaft verfügbar
+- Maximal **2 Klicks** vom Start weg (keine versteckten Untermenüs)
+- Für automatisierte Abrufe: klar strukturiert, bevorzugt als strukturierte Daten
+
+### Häufige Fehler
+- Fehlende E-Mail-Adresse (nur Kontaktformular reicht nicht!)
+- Kein Impressum auf Social-Media-Profilen
+- Impressum nicht mobil erreichbar
+- Veraltete Angaben (Adresse, Vertretungsberechtigte)
+
+---
+
+## IT-Vertragstypen und deren rechtliche Einordnung
+
+### Softwarekauf (§§ 433 ff. BGB — Kaufrecht)
+- Bei dauerhafter Überlassung einer Standardsoftware
+- Mängelgewährleistung: 2 Jahre (§ 438 BGB)
+- Digitale Inhalte: Verbraucherrechte-Richtlinie → § 327 ff. BGB (seit 2022)
+
+### Softwaremiete / SaaS (§§ 535 ff. BGB — Mietrecht)
+- Bei zeitlich befristeter Überlassung (Cloud, Abonnement)
+- Kein Eigentumserwerb, daher kein Kaufrecht
+- Mängelrecht: Mangelfreie Überlassung über die gesamte Mietdauer
+- Kündigung: Vertragliche Regelungen beachten; BGB-Kündigungsrecht subsidiär
+
+### Softwareerstellung / Individualentwicklung (§§ 631 ff. BGB — Werkvertragsrecht)
+- Bei Erstellung von Individualsoftware
+- Abnahme erforderlich (§ 640 BGB)
+- Mängelhaftung nach Abnahme: 2 Jahre (§ 634a BGB)
+- Abnahmeverweigerung: Nur bei wesentlichen Mängeln berechtigt
+- **Wichtig**: Keine AGB des Auftragnehmers, die Abnahme faktisch aufheben
+
+### IT-Dienstleistungen (§§ 611 ff. BGB — Dienstvertragsrecht)
+- Bei laufender Beratung, Support, Managed Services
+- Kein Erfolg geschuldet, nur sorgfältige Leistung
+- Kündigung jederzeit möglich (§ 627 BGB), sofern nicht abbedungen
+- **Abgrenzung Werk/Dienst** entscheidend für Mängelrechte!
+
+### Lizenzvertrag (Mischform)
+- Einräumung von Nutzungsrechten am Urheberrecht (§§ 31 ff. UrhG)
+- Unterscheide: Einfache vs. ausschließliche Lizenz
+- FOSS-Lizenzen (GPL, MIT, Apache) sind verbindliche Verträge
+- Lizenzverstoß = urheberrechtliche Abmahnung möglich
+
+---
+
+## NIS2 — Neue Pflichten ab Oktober 2024
+
+### Betroffene Unternehmen
+NIS2 gilt für Unternehmen in **18 Sektoren** (erweitert gegenüber NIS1):
+- Energie, Transport, Banken, Finanzmarktinfrastruktur
+- Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur
+- **Neu**: Managed Service Provider, Cloud-Dienste, Rechenzentren, Öffentliche Verwaltung, Raumfahrt
+- **Neu**: Post, Abfallwirtschaft, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Forschung, Digitale Dienste
+
+### Schwellenwerte
+- **Wesentliche Einrichtungen**: Großunternehmen (≥250 MA oder ≥50 Mio. € Umsatz) in kritischen Sektoren
+- **Wichtige Einrichtungen**: Mittlere Unternehmen (≥50 MA oder ≥10 Mio. € Umsatz) in erweiterten Sektoren
+
+### Pflichten
+- Risikobasierte Sicherheitsmaßnahmen (Verschlüsselung, Zugangskontrolle, Incident Response...)
+- **ISO 27001 / BSI IT-Grundschutz** als anerkannter Nachweis für NIS2-Konformität — Zertifizierung empfehlenswert für wesentliche Einrichtungen
+- Meldepflicht bei erheblichen Sicherheitsvorfällen:
+  - **24 Stunden**: Erstmeldung ("Frühwarnung")
+  - **72 Stunden**: Folgebericht mit Erstbewertung
+  - **1 Monat**: Abschlussbericht
+- Registrierungspflicht beim BSI
+- Geschäftsführerhaftung: Persönliche Haftung bei Verstößen
+- Supply-Chain-Sicherheit: Anforderungen an Lieferanten
+
+### Bußgelder NIS2
+- Wesentliche Einrichtungen: bis 10 Mio. € oder 2% Jahresumsatz
+- Wichtige Einrichtungen: bis 7 Mio. € oder 1,4% Jahresumsatz
+
+---
+
+## Software-Urheberrecht (§§ 69a-69g UrhG)
+
+### Schutzvoraussetzungen
+- Computerprogramme sind urheberrechtlich geschützt, wenn sie **individuelles Schöpfungsergebnis** sind (§ 69a Abs. 3 UrhG)
+- **Keine** Mindesthöhe der Schöpfung erforderlich (anders als früher)
+- Schutz entsteht automatisch mit Erstellung — keine Registrierung nötig
+
+### Rechte des Urhebers
+- Vervielfältigung, Verbreitung, öffentliche Wiedergabe
+- Dekompilierung nur in engen Grenzen (§ 69e UrhG: Interoperabilität)
+- Fehlerberichtigung durch befugten Nutzer erlaubt (§ 69d Abs. 1 UrhG)
+
+### Arbeitnehmerurheberrecht
+- § 69b UrhG: Arbeitgeber erwirbt automatisch alle Vermögensrechte an dienstlich erstellter Software
+- Gilt auch für freie Mitarbeiter in Grenzen (vertraglich regeln!)
+- Persönlichkeitsrechte verbleiben beim Entwickler
+
+### Open Source Lizenzen — Kurzübersicht
+| Lizenz | Copyleft | Kompatibilität | Pflichten |
+|--------|---------|---------------|----------|
+| MIT | Nein | Fast alle | Lizenz-/Copyrightvermerk beibehalten |
+| Apache 2.0 | Nein | Fast alle | Lizenz + Änderungen dokumentieren, Patentklausel beachten |
+| GPL v2 | Stark | Nur GPL-kompatibel | Quellcode offenlegen bei Weitergabe |
+| GPL v3 | Stark | Nur GPL v3-kompatibel | GPL v2 + Tivoization-Verbot |
+| LGPL v3 | Schwach | Breiter | Dynamisches Linken erlaubt ohne GPL-Pflicht |
+| AGPL v3 | Netzwerk-Copyleft | AGPL-kompatibel | Quellcode auch bei SaaS-Nutzung offenlegen |
+| MPL 2.0 | Datei-Copyleft | Gut | Nur geänderte MPL-Dateien offenlegen |
+| BSD 2/3 | Nein | Fast alle | Lizenz-/Copyrightvermerk; BSD-3: kein Endorsement |
+
+**Praxis-Tipp**: AGPL ist für SaaS-Anbieter besonders zu beachten — Nutzung des Codes im Dienst verpflichtet zur Quelltextoffenlegung!
+
+---
+
+## Abmahnungen im IT-Recht
+
+### Häufige Abmahngründe
+- Impressumsmangel (§ 5 DDG / TMG)
+- Datenschutzverstoß (DSGVO + UWG § 3a)
+- Cookie-Consent-Fehler (§ 25 TTDSG + UWG)
+- Urheberrechtsverletzung (Bilder, Software, Texte)
+- Wettbewerbswidrige Werbung (UWG)
+- Fehlende Pflichtangaben (Preisangaben, Widerrufsrecht, Gewährleistung)
+
+### Was tun bei einer Abmahnung?
+1. **Nicht ignorieren** — Frist beachten (meist 7-14 Tage)
+2. **Nicht sofort unterschreiben** — Unterlassungserklärung sorgfältig prüfen
+3. **Anwalt einschalten** — modifizierte Unterlassungserklärung aushandeln
+4. **Verstoß abstellen** — unabhängig von der Abmahnung
+5. **Gegenabmahnung prüfen** — bei rechtsmissbräuchlichen Abmahnungen
+
+### Serienabmahnungen / Rechtsmissbrauch
+- § 8c UWG: Missbrauchliche Abmahnungen sind unzulässig
+- Indizien: Übermäßige Streitwerte, reine Kostenerzielung, unverhältnismäßige Reaktion
+- Bei Massenabmahnungen (z.B. Abmahnwellen wegen Fonts): Anwalt konsultieren
+
+---
+
+## EU AI Act — Überblick für Entwickler und Anwender
+
+### Risikokategorien
+| Kategorie | Beispiele | Regelung |
+|-----------|----------|---------|
+| 🔴 Inakzeptabel (verboten) | Social Scoring, Echtzeit-Biometrie öffentlich, Manipulation | Verboten ab Feb. 2025 |
+| 🟠 Hochrisiko | Bewerbungsfilter, Kreditscoring, medizinische Diagnose, kritische Infrastruktur | Strenge Anforderungen (Konformitätsbewertung) |
+| 🟡 Begrenzte Risiken | Chatbots, Deepfakes, Emotionserkennung | Transparenzpflichten |
+| 🟢 Minimales Risiko | Spam-Filter, Empfehlungssysteme, KI in Spielen | Keine spezifischen Pflichten |
+
+### Zeitplan
+- **Februar 2025**: Verbotene KI-Praktiken gelten
+- **August 2025**: GPAI-Modell-Pflichten (Basismodelle wie GPT, Claude)
+- **August 2026**: Hochrisiko-KI vollständig reguliert
+- **August 2027**: KI in Produkten (Medizinprodukte, Maschinen)
+
+### Bußgelder AI Act
+- Verbotene Praktiken: bis 35 Mio. € oder 7% Jahresumsatz
+- Verstöße gegen Hochrisiko-Pflichten: bis 15 Mio. € oder 3%
+- Falsche Informationen: bis 7,5 Mio. € oder 1,5%
+
+---
+
+## Domain-Recht
+
+### DENIC / .de-Domains
+- DENIC eG: https://www.denic.de — Registrierungsstelle für .de-Domains
+- Domain-Streitigkeiten: Markenrecht (§ 14 MarkenG), Namensrecht (§ 12 BGB), Wettbewerbsrecht
+
+### Markenrecht bei Domains
+- **§ 14 MarkenG**: Verwechslungsgefahr mit eingetragener Marke → Unterlassung, Schadensersatz
+- **§ 5 MarkenG**: Schutz von Unternehmenskennzeichen auch ohne Eintragung
+- **§ 12 BGB**: Namensrecht natürlicher Personen
+- Typosquatting, Cybersquatting: Bösgläubige Registrierung = Unterlassungsanspruch
+
+### UDRP / WIPO
+- Für internationale Domains (.com, .net, .org): UDRP-Verfahren bei WIPO
+- Schneller und günstiger als Gerichtsverfahren
+- https://www.wipo.int/amc/en/domains/
+
+---
+
+## Wichtige Institutionen und Ressourcen
+
+| Institution | Website | Funktion |
+|------------|---------|---------|
+| BSI (Bundesamt für Sicherheit in der Informationstechnik) | https://www.bsi.bund.de | IT-Sicherheit, KRITIS, Beratung |
+| DPMA (Deutsches Patent- und Markenamt) | https://www.dpma.de | Marken, Patente, Designs |
+| Bundesnetzagentur | https://www.bundesnetzagentur.de | TK-Regulierung, Spam-Beschwerden |
+| eco (Verband der Internetwirtschaft) | https://www.eco.de | Beschwerdestelle, Standards |
+| Bitkom | https://www.bitkom.org | Branchenverband, Leitfäden |
+| it-recht-kanzlei.de | https://www.it-recht-kanzlei.de | Praxis-Tipps, Muster (kostenpflichtig) |
+| LHR (Leibniz-Institut) | — | Forschung zu IT-Recht |

package/skills/compliance/aegis-native/brutaler-anwalt/references/strafrecht-steuer.md

@@ -0,0 +1,193 @@
+# Strafrecht (IT-Bezug) und Steuerrecht / GoBD
+
+> Lade diese Datei bei: Datenpannen, Hacking-Vorwurf, Kryptografie-Pflichten,
+> Buchhaltungs-Compliance, Fakturierung, Steuerprueferzugriff (GoBD).
+
+---
+
+## Strafrechtliche IT-Tatbestaende (StGB)
+
+### § 202a StGB — Ausspaehen von Daten
+- Tatbestand: Unter Ueberwindung einer Sicherung Daten erschleichen, die nicht fuer einen bestimmt sind.
+- Schutzmassnahme „besonderes Sicherheitsverfahren" Pflicht: passwoerter, Verschluesselung, Zugriffskontrolle.
+- Strafe: bis 3 Jahre Freiheitsstrafe oder Geldstrafe.
+- Praxis-Hinweis: Wenn ein Web-Server keine Verschluesselung verwendet, koennen abgegriffene Daten i.d.R. NICHT als § 202a-Vorfall gelten („keine Sicherung" = nicht strafbar). Aber: Datenpanne nach DSGVO Art. 33 trotzdem moeglich.
+
+### § 202b StGB — Abfangen von Daten
+- Tatbestand: Daten waehrend Uebertragung abfangen
+- Vor allem: WLAN-Sniffing, Man-in-the-Middle ohne TLS
+
+### § 202c StGB — Vorbereiten des Ausspaehens („Hackertools-Paragraph")
+- Tatbestand: Herstellen, Vertreiben, Verschaffen von Tools mit Tatabsicht
+- Praxis: Pen-Testing-Tools nur mit Einverstaendnis nutzen
+
+### § 263a StGB — Computerbetrug
+- Tatbestand: Vermoegens-Schaedigung durch Manipulation eines Datenverarbeitungsvorgangs
+- Beispiel: Manipulierte Online-Shop-Bestellung, die Bezahlung umgeht
+
+### § 269 StGB — Faelschung beweiserheblicher Daten
+- Tatbestand: digitale Daten so manipulieren, dass sie als echt erscheinen (z.B. gefaelschte E-Mail-Header, Logs)
+
+### § 303a StGB — Datenveraenderung
+- Tatbestand: Loeschen, Unterdruecken, Veraendern fremder Daten
+
+### § 303b StGB — Computersabotage
+- Tatbestand: Stoerung der Datenverarbeitung von erheblicher Bedeutung
+- DDoS-Attacken, Ransomware
+
+### Strafrechtliche Verantwortung des Geschaeftsfuehrers
+- Wenn Datenpanne erfolgt + GF-Pflichten verletzt → § 130 OWiG (Aufsichtspflichtverletzung) ODER strafrechtliche Beihilfe
+- Bei NIS2 (ab 2024): persoenliche Haftung Geschaeftsleitung verschaerft
+
+### Pruefpunkte fuer Skill
+- [ ] HTTPS auf gesamter Site (sonst § 202a wirft tief)
+- [ ] TLS 1.2+, korrekte Cipher-Suite
+- [ ] Verschluesselung sensibler Daten in Datenbank (z.B. AES-256)
+- [ ] Pen-Test-Hinweis auf Site? — Erklaerung dass Tests nur mit Einverstaendnis gemacht werden
+- [ ] Bei ehemaligen Mitarbeitern: Logs-Loesch-Konzept (sonst § 303a moeglich bei Manipulation)
+- [ ] DDoS-Schutz: zumindest Cloudflare-Free oder Vercel-Edge
+
+---
+
+## Datenpannen-Anzeigepflicht
+
+### Strafrechtlich
+- Datenpanne selbst i.d.R. nicht strafbar
+- ABER wenn vorsaetzlich versteckt: § 263 StGB (Betrug) oder § 130 OWiG moeglich
+- Bei Beteiligung an strafbaren Handlungen Dritter: Strafvereitelung § 258 StGB
+
+### Verwaltungsrechtlich (DSGVO)
+- 72 h Meldung an Aufsichtsbehoerde (Art. 33)
+- Unverzueglich Betroffene informieren (Art. 34)
+
+### Anzeigepflicht zivilrechtlich (BGB)
+- Schadensersatzanspruch Art. 82 DSGVO (immateriell auch ohne realen Missbrauch, EuGH C-340/21)
+- Im B2B: vertragliche Haftung fuer Datenpannen (oft in AGB ausgeschlossen — § 307 BGB pruefen)
+
+### Vorgehen bei Datenpanne (Skill-Pattern)
+1. Erkennung dokumentieren (Datum, Zeitstempel, Ausmass)
+2. Innerhalb 72 h: Aufsichtsbehoerde-Meldung (Art. 33). Spaeter ist Bussgeld zu erwarten.
+3. Bei hohem Risiko fuer Betroffene: zusaetzlich Art. 34-Information unverzueglich
+4. Forensik einschalten
+5. Anzeige bei Polizei wenn Hacking erkennbar (§§ 202a/263a/303a/b StGB)
+6. Pressemitteilung vorbereiten (PR-Schaden minimieren)
+7. Anwalts-Briefing fuer Schadensersatz-Verteidigung
+
+---
+
+## GoBD (Grundsaetze ordnungsgemaesser Buchfuehrung)
+
+### Volltext / Grundlage
+- BMF-Schreiben 28.11.2019 + Aktualisierung 11.07.2023
+- https://www.bundesfinanzministerium.de
+- Konkretisiert Buchfuehrungs-Pflichten aus § 145 ff. AO + § 257 HGB im digitalen Zeitalter
+
+### Kerngrundsaetze
+- **Vollstaendigkeit**: Alle Geschaeftsvorfaelle erfasst
+- **Richtigkeit**: Daten korrekt
+- **Zeitgerechte Buchungen**: Belege binnen 10 Tagen, Buchungen lfd.
+- **Ordnung**: Systematische Ablage
+- **Unveraenderbarkeit**: Aenderungen nachvollziehbar protokolliert
+- **Maschinelle Auswertbarkeit**: Daten in maschinenlesbarem Format archivieren
+
+### Aufbewahrungsfristen
+- Buchungsbelege: **10 Jahre** (§ 147 AO)
+- Geschaeftsbriefe: **6 Jahre** (§ 257 HGB)
+- E-Mails mit handelsrechtlichem Bezug: **6 Jahre** (gilt wie Geschaeftsbrief!)
+- Vertrags-Dokumente: 10 Jahre (Pflicht) oder bis Ende Mandanten-Beziehung
+
+### Datenzugriff durch Steuerprueferin (§ 147 Abs. 6 AO)
+- Z1: Unmittelbarer Zugriff auf System (Lesemodus)
+- Z2: Mittelbarer Zugriff (Auswertungen via Steuerpflichtiger)
+- Z3: Datentraegerueberlassung (Format konform GDPdU/GoBD)
+
+### Pruefpunkte fuer Online-Shops / SaaS
+- [ ] Rechnungen revisionssicher archiviert (Manipulations-geschuetzt)
+- [ ] E-Mail-Archivierung mit Verschlagwortung + Suchbarkeit
+- [ ] PDF-Rechnungen mit qualifizierter elektronischer Signatur (qeS) ODER Aufbewahrung im urspruenglichen Format
+- [ ] Buchhaltungs-Tool zertifiziert (z.B. lexoffice, sevDesk, DATEV) ODER eigene Loesung mit Verfahrens-Dokumentation
+- [ ] Verfahrens-Dokumentation vorhanden (welche Software, welche Prozesse, welche Sicherungen)
+- [ ] Bei Steuerpruefung: Z1/Z2/Z3-Zugriff vorbereitet
+- [ ] Aufbewahrungsfristen eingehalten — keine vorzeitige Loeschung von Belegen
+
+### Risiko bei Verstoss
+- Schaetzungsbescheid (§ 162 AO): Steuerprueferin schaetzt Umsatz / Gewinn — meist hoch
+- Bussgeld (§ 379 AO): bis 25.000 € pro Verstoss
+- Strafrechtlich: § 370 AO Steuerhinterziehung bei Vorsatz
+
+### Skill-Pattern fuer GoBD-Audit
+Bei E-Commerce-/SaaS-Sites pruefen:
+- [ ] Verfahrens-Dokumentation auffindbar?
+- [ ] Belegarchivierung Online-Tool oder lokal?
+- [ ] Bei Subscription-SaaS: Wiederkehrende Rechnungen + Storno-Vermerke korrekt?
+- [ ] Stripe/PayPal-Pay-Outs korrekt verbucht (USt korrekt nach Lieferschwelle / OSS)?
+- [ ] OSS-Verfahren bei EU-B2C-Vertrieb genutzt (One-Stop-Shop seit 2021)?
+
+---
+
+## Beschaeftigtendatenschutz (§ 26 BDSG)
+
+### Rahmen
+- Verarbeitung von Mitarbeiter-Daten nur zu Zwecken des Beschaeftigungsverhaeltnisses
+- Einwilligung selten wirksam (Machtgefaelle)
+- Betriebsrat-Mitbestimmung (§ 87 BetrVG) bei IT-Systemen die Verhalten ueberwachen
+
+### Pruefpunkte fuer Web-Apps mit Mitarbeiter-Daten
+- [ ] Mitarbeiter-Login-System: Logs aufbewahren wie lange? § 26 BDSG begrenzt
+- [ ] Videoueberwachung (z.B. CMS mit Kamerafeed): § 4 BDSG
+- [ ] Tracking von Mitarbeiter-Productivity: i.d.R. ohne Betriebsvereinbarung unzulaessig
+- [ ] HR-Daten: AVV mit HR-SaaS-Anbieter
+
+### Cross-Risiko mit Skill
+Wenn die Site Mitarbeiter-Login enthaelt + keine separate Beschaeftigten-Datenschutzerklaerung → KRITISCH (Notebooksbilliger-Bussgeld 10,4 Mio.).
+
+---
+
+## Anti-Geldwaesche (GwG)
+
+### Bei Online-Bezahlung > 1.000 € regelmaessig
+- Identifikation Geschaeftspartner (KYC)
+- Sorgfaltspflichten § 10 ff. GwG
+- Verdachtsanzeige FIU bei Verdacht
+
+### Pruefpunkte
+- [ ] Bei B2C > 1.000 €: KYC-Prozess?
+- [ ] Bei B2B: UBO (Ultimate Beneficial Owner) bekannt?
+- [ ] Verdachtsmeldungen-Prozess dokumentiert?
+
+---
+
+## Kryptografie-Pflichten
+
+### Nichts explizit gesetzlich, aber:
+- Art. 32 DSGVO: „angemessene TOMs" — TLS, Verschluesselung at-rest, Pseudonymisierung
+- BSI IT-Grundschutz: Ciphersuite-Empfehlungen
+- bei NIS2 (kritische Sektoren): Verschluesselungs-Pflichten verschaerft
+
+### Pruefpunkte
+- [ ] HTTPS auf gesamter Domain
+- [ ] TLS 1.2+ (TLS 1.0/1.1 deaktiviert)
+- [ ] HSTS aktiv
+- [ ] Bei Datenbank: AES-256 oder vergleichbar bei sensiblen Feldern
+- [ ] Bei Backups: Verschluesselt (idealerweise asymmetrisch fuer Master-Key)
+
+---
+
+## Skill-Pattern Strafrecht / GoBD
+
+```
+Finding: Datenpanne nicht innerhalb 72 h gemeldet
+- §: Art. 33 DSGVO + § 130 OWiG (Aufsichtspflicht)
+- Az.: OLG Hamm 4 U 75/23 (auch versehentliche Mails sind Datenpannen)
+- Strafrechtlich: § 263 StGB falls vorsaetzliche Verschleierung erkennbar
+- Bussgeld DSGVO: Stufe 1 (Art. 83 Abs. 4)
+- Risiko-Vektor:
+  - Aufsichtsbehoerde: 5.000–500.000 € je nach Schwere
+  - Strafanzeige durch Betroffene: moeglich bei Vorsatz
+  - Schadensersatz Art. 82: typisch 100–5.000 € pro Betroffenem
+- Fix:
+  1. Sofort Aufsichtsbehoerde-Meldung (Formular auf Behoerden-Website)
+  2. Bei hohem Risiko: Art. 34-Information an Betroffene
+  3. Forensik einschalten
+  4. Anwalt fuer Schadensersatz-Verteidigung beauftragen
+```