@aegis-scan/skills 0.2.1 → 0.5.0

package/skills/compliance/aegis-native/brutaler-anwalt/CHANGELOG.md

@@ -0,0 +1,202 @@
+# Changelog — brutaler-anwalt
+
+Alle relevanten Aenderungen am Skill werden hier dokumentiert.
+Format orientiert sich an [Keep a Changelog](https://keepachangelog.com/de/1.1.0/),
+Versionierung folgt [SemVer](https://semver.org/lang/de/).
+
+> Provenance-Disziplin (SKILL.md §5) ist seit v3.0 zero-tolerance.
+> Jede neue Az. in `references/bgh-urteile.md` muss eine Source-URL haben
+> (Primaerquelle bevorzugt; Sekundaerquelle mit `[secondary-source-verified]`-Tag).
+
+---
+
+## [Unreleased] — Roadmap zu v4.0.0
+
+Naechste Schritte (mehrere Sessions, siehe `MAXOUT-PROGRESS.md` falls vorhanden):
+
+- [ ] `references/gesetze/` — strukturierte Auszuege fuer leere Folders (HinSchG, NIS2UmsuCG-BSIG, KritisDachG, StGB §§ 202a-d, ePrivacy-RL, DMA, ODR, eIDAS, StPO, IHK-DSK-EDSA-Guidelines) + 6 audit-relevance.md fuer befuellte Folder (BDSG, TDDDG, DDG, BGB, HGB-AO, UWG, VSBG, BFSG)
+- [ ] `references/stack-patterns/` — 22 weitere Files: vue/, astro/, laravel/, rails/, django/, express/, nest/, strapi/ (frameworks), auth/auth0+clerk+custom-jwt, payment/paddle+mollie+lemonsqueezy+paypal, tracking/google-analytics+posthog+umami+mixpanel+fathom, ai/anthropic-dpa+replicate+self-hosted-llm, react/cookie-banner+consent-gate, nextjs/env-driven-tracking+dynamic-rendering+api-bearer-auth
+- [ ] `references/bgh-urteile.md` Source-URL-Coverage 39/67 → 67/67 (28 Az. ohne Source pflegen, primary-source bevorzugt; nach v3.3.0-Spot-Check sind Halluzinations-Verdaechtige bereinigt)
+- [ ] `references/abmahn-templates.md` — DSA-Notice + BFSG-Anhoerung + AI-Act-Behoerden-Anhoerung + Crypto-MiCA + HinSchG
+- [ ] `references/aegis-integration.md` — Update auf AEGIS v0.17.x Module-Map
+- [ ] `references/international.md` — Schweiz nFADP (revDSG) + Oesterreich DSG-Layer + Liechtenstein
+- [ ] `references/vertragsrecht.md` — § 312k Pflicht-Klauseln-Komplettliste + FairVertrG 2022 + B2B vs B2C Abgrenzungs-Pattern
+- [ ] `references/strafrecht-steuer.md` — § 202a-d StGB Volltext + GoBD-Praxis
+- [ ] OSS-Release als MIT-Submodule unter AEGIS-Repo (User-authorized)
+- [ ] OOC-Anti-Overfit-Verification (cross-project audit comparison)
+
+---
+
+## [3.4.0] — 2026-05-01 — Audit-Korrektur + Live-E2E-Verify-Lessons
+
+Erweiterungen aus dem Live-Fix-Cycle desselben Audit-Targets (eine Session
+nach v3.3.0). Skill wird jetzt durch echten End-to-End-Verify gehaertet,
+nicht mehr nur durch statische Audit-Pattern.
+
+### Changed
+- **audit-patterns.md Phase 5g DKIM-Check** auf Multi-Selector-Pattern erweitert.
+  Ehemalige Pflicht-Annahme „TXT auf `default._domainkey` ist Standard" hat
+  bei All-Inkl-Hosting einen False-Positive produziert: All-Inkl generiert
+  beim DKIM-Aktivierungs-Klick einen eigenen Selector im Format
+  `kasYYYYMMDDHHMMSS._domainkey`, der einen Wildcard-CNAME `*._domainkey` durch
+  Specific-over-Wildcard-Regel ueberschreibt. Lesson: NIE nur `default` testen,
+  sondern (1) sample-mail-header `DKIM-Signature: ... s=<selector> ...` lesen,
+  (2) mit DIESEM Selector `dig +short TXT <selector>._domainkey.<domain>`,
+  (3) Multi-Selector-Probe als Fallback (`default`, `mail`, `s1`, `k1`,
+  `kas...`, `selector1`, `google`).
+
+- **bgh-urteile.md** Audit-Korrektur: Finding "DKIM defekt" wurde im operativen
+  Audit-Re-Run zum FALSE-POSITIVE umklassifiziert nach DNS-Sicht-Klärung
+  (User-Screenshot zeigte korrekten DKIM-TXT-Record auf hoster-spezifischem
+  Selector). Das ist eine wertvolle Lesson für brutaler-anwalt-Skill:
+  audit-side-Verify per `dig` allein ist nicht ausreichend — Operator-DNS-
+  Settings-View ist die definitive Quelle.
+
+### Added
+- **audit-patterns.md Phase 5g** Operator-View-Pflicht-Check ergaenzt:
+  „Bei DKIM-Verdacht NICHT nur `dig`, sondern auch Operator-DNS-Settings-View
+  einsehen — Specific-over-Wildcard-CNAME-Konstellationen koennten den
+  `dig`-Output verschleiern."
+
+- **NEUER Pattern in audit-patterns.md Phase 5d Origin-Strict-Match**: Multi-
+  Surface-Regression-Discovery. Im Live-Fix-Cycle wurden 3 weitere API-Routes
+  (`contact`, `widerruf`, `consent-log`) mit demselben startsWith-Origin-Bug
+  entdeckt — ueber den initial-gepruefte newsletter hinaus. Skill-Pflicht-
+  Check: `grep -rEn "function isValidOrigin|origin\.startsWith" src/app/api/
+  src/lib/` — alle API-Routes muessen einen einzigen shared validator
+  importieren, **kein** lokal-defined Variant.
+
+- **NEUER Pattern Phase 5d File-Storage in Production-Container**:
+  process.cwd()-basiertes File-Storage funktioniert lokal, kann aber in
+  Docker-Production-Container schreib-Permissions failen. Pflicht: Default-
+  Path mit `os.tmpdir()` als Production-Fallback + ENV-Override fuer
+  persistent volume. Detail: in audit-patterns.md Phase 5d „Folder-/Slug-
+  Sanitization"-Zeile bei Bedarf erweitern.
+
+- **NEUER Pattern Phase 5g granulare Try-Catch**: Newsletter-DOI-Endpoint
+  hatte initial einen Bug — kein granulares Try-Catch um Mail-Send,
+  resultiert in HTTP 500 wenn Mail fail. Best-Practice: Persist-Fail = 500
+  (User soll nicht denken Anmeldung war OK), Mail-Fail = 200 + Log + retry-
+  Moeglichkeit (User kann erneut anmelden). Beispiel-Vorbild: konfigurator/
+  route.ts mit try-catch um sendKonfiguratorEmails.
+
+### Skill-Lesson auf Meta-Ebene
+**Static-Audit + Live-E2E-Verify ist ein Pflicht-Paar.** Static-Audit allein
+produziert False-Positives (DKIM-Wildcard-CNAME-Verschleierung) UND uebersieht
+Multi-Surface-Regressions (3 weitere Origin-Bugs). Brutaler-anwalt-Skill v3.4
+empfiehlt jetzt explizit: nach jedem Audit ein End-to-End-Verify am echten
+Live-System mit echten Test-Tokens / Test-Mails / DNS-Probes.
+
+### AGB-Audit-Pattern (NEU in audit-patterns.md Phase 4 vorgeschlagen für v3.5)
+Der gleiche Audit-Cycle deckte 4 AGB-Inkonsistenzen + 3 fehlende state-of-the-
+art-Klauseln auf. Skill-Erweiterung fuer naechste Version: Phase 4 DSE-Drift-
+Audit-Matrix sollte um „AGB-Konsistenz-Pass" erweitert werden mit Pflicht-
+Pruefungen:
+- Frist-Konflikt-Check (mehrere Werktage-/Kalendertage-Fristen — wann genau, was triggert)
+- Zahlungs-Reihenfolge-Check (Vor/nach Vertragsunterschrift, vor/nach Demo)
+- Rücktrittsrecht-vs-Mängelrechte-Verhältnis-Klausel (B2B parallel-Schutz)
+- Höhere-Gewalt-Klausel (Drittanbieter-Ausfälle: Hosting/CDN/Email/AI)
+- KI-Verordnung-Art.-50-Klausel (ab 02.08.2026 Pflicht für KI-Inhalte)
+- Preisanpassungs-Klausel mit CPI-Cap (BGH XI ZR 26/20-konform)
+
+---
+
+## [3.3.0] — 2026-05-01 — Audit-driven Maxout (DACH-Brand-Audit)
+
+### Added
+- **audit-patterns.md** Phase 5d — KONFIGURATOR-/MULTI-STEP-FORM-AUDIT: 14 Pflicht-Checks (Origin-Strict, Honeypot, CSRF, Rate-Limit, Zod, Server-Pricing, Folder-Sanitization, File-Upload-Polyglot, PII-Pre-Submit-Hygiene, DSE-Konfigurator-Block, TTL-Loesch-Konzept, Eingangsbestaetigung, Pre-DSGVO-Hinweis, Email-Pflichtfeld-Trennung) + 6 Verify-Curl-Probes + Az.-Anker.
+- **audit-patterns.md** Phase 5e — AI-CHATBOT-/LLM-DSGVO-AUDIT: 14 Pflicht-Checks (Vendor-AVV/DPA, Drittland-DSE, Pre-Consent-Loading, Prompt-Logging-Doku, PII-Auto-Redaction, Auskunftsrecht-Routing, System-Prompt-Anti-Leak, Prompt-Injection-Defense, AI-Act-Transparenz, Anti-Hallucination-Disclaimer, Response-Filter, Rate-Limit, Origin-Check, Konversations-TTL, Children-Schutz) + 5 Verify-Curl-Probes + Az.-Anker (Art. 50 EU AI Act).
+- **audit-patterns.md** Phase 5f — SCANNER-/AUDIT-TOOL-SELBST-AUDIT: 12 Pflicht-Checks (RDG-Disclaimer, FP/FN-Liability, Eingabe-URL-Logging, Active-Probes-Authorisierung, SSRF-Defense, DNS-Rebinding-Defense, Rate-Limit, Output-Sanitization, Drittstellen-Hinweis, FP/FN-Tracking, User-Consent-Hinweis, Output-Disclaimer-pro-Finding) + 5 Verify-Curl-Probes + Az.-Anker (BGH I ZR 113/20 Smartlaw, § 202a-c StGB).
+- **audit-patterns.md** Phase 5g — EMAIL-/SMTP-OUTBOUND-COMPLIANCE-AUDIT: 6 Mail-Authentifizierungs-Checks (SPF/DKIM-TXT-NICHT-CNAME/DMARC-mit-Reporting/BIMI/MX/Reporting-Adresse) + 12 Outbound-Compliance-Checks (3rd-Party-AVV, IP-Reputation, Bestandskunden, DOI, Bestaetigungs-Mail-Werbung, Unsubscribe, List-Unsubscribe-Header, Footer-Impressum, Consent-Beweis-Doku, Cold-Outreach, Bounce-Handling, TLS) + 7 Verify-Commands (dig + nc + Inbox-Header-Check) + Az.-Anker.
+
+### Changed
+- **SKILL.md** §5(c) Halluzinations-Indikatoren erweitert um V3.3-Lesson: WebSearch-Treffer mit „aehnlichem Sachverhalt" sind NICHT ausreichend — Pflicht-WebFetch zur Az.-Volltext-Verifikation. Anlass: Audit 2026-05-01 entdeckte 2 Halluzinationen (OLG Hamm 4 U 75/23 + LG Berlin 16 O 9/22). Beide WebSearch-Vorschlaege waren initial falsch — erst WebFetch-Volltext zeigte korrektes Az. (OLG Hamm 11 U 88/22, 20.01.2023, lennmed.de Source).
+- **bgh-urteile.md** OLG Hamm 4 U 75/23 → ersetzt mit verifiziertem **OLG Hamm 11 U 88/22 (20.01.2023)** + Source lennmed.de + Provenance-Note.
+- **bgh-urteile.md** LG Berlin 16 O 9/22 → markiert als VERDACHT-HALLUZINATION + auf BGH I ZR 218/07 + § 7 UWG-Rechtsprechung umgeleitet.
+- **bgh-urteile.md** KG Berlin 5 U 87/19 Duplikat konsolidiert (eine Section mit secondary-source-verified Source bleibt).
+- **branchenrecht.md** neue Branche **Webdesign-Agentur / Marketing-Agentur** (post-2026-05-01-Audit-Lessons): 11 Pflicht-Checks + Trigger + Az.-Anker (BGH I ZR 113/20, I ZR 218/07, I ZR 161/24, OLG Hamm 11 U 88/22).
+- **scripts/health-check.sh** pipefail-Bug gefixt: `grep -l` mit no-match → exit 1 propagiert mit `set -euo pipefail` → Script abbruch. Fix: Subshell + `|| true` + Klammern. Brand-Leak + Templates-Check liefern jetzt korrekt 0 Treffer.
+
+### Audit-Validierung (battle-tested 2026-05-01)
+Phasen 5d/5e/5f/5g auf einer Live-DACH-Brand-Site (Webdesign-Agentur, B2B-primaer, Konfigurator + Mistral-Chatbot + AEGIS-Scanner) angewandt. Ergebnis: **10 Findings produziert** (3 KRITISCH: Newsletter-Single-Opt-In + DSE-Drift + Newsletter-Origin-Bug + DKIM-CNAME-Defekt; 3 HOCH: DMARC-`p=none` + BFSG-Pflicht-Seite-404 + CSP-frame-src-Maps-Drift; 4 NIEDRIG/MITTEL). DEVIL'S ADVOCATE ergaenzte Sammelklage-Vektor + AI-Act-Future-Pflicht. LIVE-PROBE-Matrix: 17 PASS / 4 FAIL / 1 not-tested. Phase 5g war highest-ROI mit 3 hochwertigen Findings (DKIM/DMARC/Newsletter-SOI). Audit-Output liegt operator-side im jeweiligen Repo-`strategy/`-Folder.
+
+---
+
+## [3.2.0] — 2026-05-01 — Sanitization + OSS-Release-Vorbereitung
+
+### Added
+- `references/templates/` mit 11 anonymisierten Snippets:
+  - `DSFA-template.md`, `VVT-template.md`, `COMPLIANCE-AUDIT-TRAIL-template.md`
+  - `AffiliateDisclaimer.tsx.example`
+  - `proxy-strict-dynamic.ts.example`
+  - `data-retention-cron.ts.example`, `data-retention-workflow.yml.example`
+  - `UmamiScript.tsx.example`, `security.txt.example`
+  - `DSE-Section-UGC.md.example`, `LostFoundReportForm-consent.tsx.example`
+- `CHANGELOG.md` (diese Datei)
+- `README.md` mit RDG-Disclaimer + Install-Hinweisen + Contribution-Guidelines
+- `LICENSE` (MIT)
+
+### Changed (Sanitization — brand-agnostisch)
+- `audit-patterns.md`: 11 brand-spezifische Refs auf generic Lessons-Bezeichner umgestellt (`operativ-Audit 2026-04-27`, `V3.1-Audit-Vorfall 2026-04-30`, `UGC-Plattform-Audit 2026-05-01`).
+- `SKILL.md` §5(a) + §5(g): Brand-Refs durch neutrale Beschreibung ersetzt.
+- `dsgvo.md`, `checklisten.md`, `branchenrecht.md`, `bgh-urteile.md`,
+  `aegis-integration.md`: alle internen Codenamen entfernt.
+- Lehrbuch-Beispiele auf `references/templates/`-Pfade umgebogen statt direkt
+  konkrete Operator-Repos zu zitieren (Strategie: teaching-value erhalten,
+  Operator-Identitaet entfernen).
+
+### Migrationspfad fuer abhaengige Skills
+- Wer auf `compliance/DSFA-2026.md` / `compliance/VVT-2026.md` /
+  `<operator-customer-build>/src/proxy.ts` o.ae. Pfade in vorherigen
+  Skill-Versionen verlinkt hatte: bitte auf
+  `references/templates/DSFA-template.md` /
+  `references/templates/VVT-template.md` /
+  `references/templates/proxy-strict-dynamic.ts.example` umstellen.
+
+---
+
+## [3.1.0] — 2026-05-01 — V3.1-Lessons + UGC-PII-Audit
+
+### Added
+- `audit-patterns.md` Phase 5c — UGC-PUBLIC-PII-AUDIT (post-V3.1-Audit-Lessons): 6-stufige Pflicht-Checks fuer Vermisst-/Marketplace-/Forum-Plattformen.
+- `audit-patterns.md` Phase 5b — BFSG-AUDIT (B2C E-Commerce, BFSG seit 28.06.2025).
+- `audit-patterns.md` Phase 6b — Deployment-Codename-Leak-Check (CSP / Public-Text / Repo-Grep, 3 Surfaces).
+- `audit-patterns.md` Stand-Datum-Hygiene-Check.
+- `dsgvo.md` DSFA-Trigger-Liste + VVT-KMU-Best-Practice.
+- `checklisten.md` Checkliste 3b AGB-B2C Pflicht-Klauseln-Komplettliste + Checkliste 3c Affiliate.
+- `bgh-urteile.md` EuGH C-131/12 Google Spain + BGH I ZR 169/17 (§ 36 VSBG).
+
+### Changed
+- SKILL.md §5(g): V3.1-Lessons (Pre-Deploy-Gate, Verify-Command-Pflicht bei DSE-Aenderungen mit operativer Dimension, Code-Var-Names-Verbot in Public-Text).
+
+---
+
+## [3.0.0] — 2026-04-30 — Az.-Provenance zero-tolerance
+
+### Changed
+- SKILL.md §5: Az.-Provenance-Pflicht eingefuehrt (zero-tolerance fuer halluzinierte Az.).
+- `bgh-urteile.md`: Source-Pflicht — jeder Eintrag braucht Source-URL.
+- 6 halluzinierte Az.-Nummern aus geshipptem Compliance-Doc entfernt + per follow-up-commit nach Primaerquellen-Verifikation korrigiert.
+
+---
+
+## [2.0.0] — 2026-04-29 — V3 mit DSE-Drift-Audit
+
+### Added
+- DSE-Drift-Audit-Matrix (Style 1 Auslassung + Style 2 Falschangabe) in `audit-patterns.md` Phase 4.
+- 8-Phasen-HUNTER-Workflow.
+- Multi-Container-Shared-Host-Risiko-Pattern.
+
+---
+
+## [1.0.0] — 2026-04-27 — Initial brutaler-anwalt
+
+### Added
+- Adversarial Multi-Persona-Modell: HUNTER + CHALLENGER + SYNTHESIZER.
+- 4 Modi: SCAN / HUNT / SIMULATE / CONSULT.
+- Reference-Files: `audit-patterns.md`, `dsgvo.md`, `it-recht.md`,
+  `vertragsrecht.md`, `checklisten.md`, `branchenrecht.md`, `bgh-urteile.md`,
+  `abmahn-templates.md`, `aegis-integration.md`, `international.md`,
+  `strafrecht-steuer.md`.
+- AEGIS-Integration (Mapping AEGIS-Findings → Anwalts-Kritikalitaet).
+- RDG-Disclaimer-Pflicht im Output.

package/skills/compliance/aegis-native/brutaler-anwalt/LICENSE

@@ -0,0 +1,43 @@
+MIT License
+
+Copyright (c) 2026 brutaler-anwalt Contributors
+
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.
+
+---
+
+# Hinweis zu Inhalt der References-Files
+
+- Auszuege aus deutschen Gesetzen (`references/gesetze/DSGVO/`, `BDSG/`, `BGB/`,
+  `UWG/` etc.) sind gemeinfreie Werke nach § 5 UrhG und werden mit
+  Quellen-Hinweis auf https://www.gesetze-im-internet.de/ wiedergegeben.
+- Auszuege aus EU-Verordnungen (`DSA-2022-2065`, `AI-Act-2024-1689` etc.) werden
+  unter Creative Commons Attribution 4.0 (CC BY 4.0) der Europaeischen Union
+  per https://eur-lex.europa.eu/ wiedergegeben.
+- BGH/EuGH/OLG-Entscheidungen in `references/bgh-urteile.md` werden mit Az.
+  und Source-URL der jeweiligen Justizportale zitiert. Tenor-Auszuege sind
+  Kurz-Zusammenfassungen (kein Volltext).
+
+# RDG-Disclaimer
+
+Dieser Skill ist eine technisch-indikative Compliance-Pruef-Hilfe. Er stellt
+keine Rechtsdienstleistung im Sinne von § 2 RDG dar (BGH I ZR 113/20 Smartlaw,
+09.09.2021) und ersetzt nicht die Beratung durch einen zugelassenen
+Rechtsanwalt fuer IT- bzw. Datenschutzrecht. Fuer verbindliche Auskuenfte zu
+konkreten Sachverhalten ist anwaltliche Beratung erforderlich.

package/skills/compliance/aegis-native/brutaler-anwalt/README.md

@@ -0,0 +1,236 @@
+# brutaler-anwalt
+
+> Adversarial DE/EU Compliance-Auditor fuer Web-/SaaS-Projekte.
+> Multi-Persona-Self-Verification (HUNTER + CHALLENGER + SYNTHESIZER + DEVIL'S
+> ADVOCATE + LIVE-PROBE) gegen False-Positives + uebersehene Risiken.
+> Sachlich-praezise Schadens-Diagnose mit %-Wahrscheinlichkeit, €-Range, §-Beleg
+> und Az.-Source-URL.
+
+**License:** MIT
+**Version:** 3.4.0 (siehe [`CHANGELOG.md`](./CHANGELOG.md))
+**Status:** lauffaehig + brand-agnostic; Phase 2 Maxout (References-Datenbank) work-in-progress
+
+---
+
+## ⚠️ Disclaimer (RDG)
+
+Dieser Skill ist eine **technisch-indikative Compliance-Pruef-Hilfe**.
+Er ist **keine Rechtsdienstleistung** im Sinne von § 2 RDG
+(BGH I ZR 113/20 Smartlaw, 09.09.2021) und ersetzt **nicht** die Beratung
+durch einen zugelassenen Rechtsanwalt fuer IT-/Datenschutzrecht.
+
+Fuer verbindliche Auskuenfte zu konkreten Sachverhalten ist anwaltliche
+Beratung erforderlich. Az.-Belege im Output muessen vor Verwendung in
+Schriftsaetzen anwaltlich gepruefte Primaerquellen sein (siehe SKILL.md §5
+Az.-Provenance-Pflicht).
+
+---
+
+## Was der Skill kann
+
+### Pflicht-Audit-Surfaces
+
+- **Header-Audit** (HSTS, CSP, Referrer-Policy, Permissions-Policy)
+- **HTML-Live-Probe** (Cookie-Banner, Mixed-Content, Public-Static-Files)
+- **Impressum-Audit** (§ 5 DDG)
+- **DSE-Audit** (DSGVO Art. 13, Drittland, AVV, Drift-Style 1+2)
+- **Cookie-/Consent-Audit** (§ 25 TDDDG)
+- **Branchen-Layer** (BORA, HWG, LMIV, MPDG, GlueStV, JuSchG, FernUSG, ...)
+- **CSP-Code-Cross-Check** (3-Surface-Pattern: Repo + CSP-Header + Public-Text)
+- **UGC-PII-Audit** (Public-Profile, Marketplace, Lost-Found)
+- **AGB B2C** (Pflicht-Klauseln-Komplettliste)
+- **BFSG** (B2C E-Commerce ab 28.06.2025)
+- **GoBD/AO** (Aufbewahrungs-Cron + Compliance-Frist 6/10 Jahre)
+- **Auth-Flow** (bcrypt-cost, MFA, Audit-Log, Session-Cookie-Attribute)
+- **Newsletter-DOI** (Confirmation-Token, Unsubscribe-Link)
+
+### Output
+
+- **Konsolidierte Risiko-Bewertung** (% Abmahn-Wahrscheinlichkeit, €-Range)
+- **Findings-Tabelle** (verified / disputed / compounded)
+- **Anwalts-Anhang pro Finding** (HUNTER-Befund + CHALLENGER-Test + Risiko-Vektor + Fix)
+- **Abmahn-Simulation** (bei Wahrsch. > 60% oder Modus SIMULATE)
+- **Audit-Trail** (Doku-Vorlage in `references/templates/COMPLIANCE-AUDIT-TRAIL-template.md`)
+
+### Modi
+
+- `SCAN` — Vollscan eines Projekts
+- `HUNT` — Spezifische Luecke / Sachverhalt
+- `SIMULATE` — Abmahn-/Behoerden-Simulation
+- `CONSULT` — Dokument-Pruefung (AGB, AVV, DSE)
+
+---
+
+## Use-Cases
+
+- **Pre-Launch-Audit** vor jedem Production-Deploy einer DACH-Site
+- **Quartals-Compliance-Check** fuer bestehende Sites (DSE-Drift, neue Az.)
+- **Pre-Push-Hook** in CI fuer DSE-relevante Aenderungen
+- **Mandanten-Pre-Pruefung** durch Agenturen / Inhouse-Compliance-Officer
+- **Konkurrenz-Recon** (was wuerde ein Abmahn-Anwalt bei mir finden?)
+
+---
+
+## Installation
+
+### Variante 1: als Claude-Code-Skill (lokal)
+
+```bash
+# In ~/.claude/skills/ als Submodule clonen oder direkt kopieren
+cd ~/.claude/skills/
+git clone https://github.com/RideMatch1/a.e.g.i.s.git aegis-skills
+ln -s aegis-skills/skills/brutaler-anwalt brutaler-anwalt
+```
+
+### Variante 2: als Submodule unter AEGIS
+
+```bash
+# Wenn du AEGIS bereits geklont hast
+cd <aegis-repo>
+git submodule add <skill-repo-url> skills/brutaler-anwalt
+```
+
+### Aktivierung
+
+Nach Installation in einem neuen Conversation-Start:
+
+```
+/anwalt
+```
+
+oder direkt mit Modus + Topic:
+
+```
+/anwalt scan          # Default SCAN auf aktuelles Repo
+/anwalt hunt cookie   # HUNT auf Cookie-Banner
+/anwalt simulate      # Abmahn-Brief-Simulation
+/anwalt consult agb   # CONSULT-Modus mit AGB
+```
+
+### Auto-Trigger (Keywords)
+
+Aktiviert automatisch bei diesen Keywords im User-Prompt:
+`dsgvo, datenschutz, impressum, cookie, abmahnung, compliance, agb, avv,
+drittland, einwilligung, ttdsg, tdddg, ddg, tmg, uwg, nis2, ai-act, gobd, dsa,
+urheber, marke, ePrivacy, drittlandtransfer, schrems, eugh, bgh, abmahnanwalt,
+datenpanne, betroffenenrechte, art-13, art-15, art-83, scc, tia, dsfa, vvt,
+dpo, dsb, fashion-id, planet49`
+
+---
+
+## Verzeichnis-Struktur
+
+```
+brutaler-anwalt/
+├── SKILL.md                          # Skill-Definition + Personas + Auto-Loading
+├── README.md                         # diese Datei
+├── LICENSE                           # MIT
+├── CHANGELOG.md                      # Versions-Historie
+└── references/
+    ├── audit-patterns.md              # 8-Phasen-HUNTER + V3.1-Lessons
+    ├── dsgvo.md                       # DSGVO-Auszug + DSFA-Trigger + VVT-KMU
+    ├── it-recht.md                    # DDG/TMG/NIS2/AI-Act/DSA/HinSchG/BFSG
+    ├── vertragsrecht.md               # AGB / BGB / SaaS / Lizenz
+    ├── checklisten.md                 # Pflicht-Listen pro Surface
+    ├── branchenrecht.md               # BORA/HWG/LMIV/MPDG/GlueStV/JuSchG/FernUSG/PetCare/...
+    ├── bgh-urteile.md                 # BGH/EuGH/OLG-Beleg-DB mit Source-URL
+    ├── abmahn-templates.md            # Abmahn-Brief-/Behoerden-Anhoerung-Vorlagen
+    ├── aegis-integration.md           # AEGIS-Scanner-Findings → Anwalts-Bewertung
+    ├── international.md               # CCPA / UK-GDPR / DSG / Schrems-II
+    ├── strafrecht-steuer.md           # StGB §202a/263a/269 + GoBD/AO
+    ├── templates/                     # 11 anonymisierte Lehrbuch-Snippets
+    ├── gesetze/                       # Strukturierte Gesetzes-Auszuege (Phase 2 WIP)
+    └── stack-patterns/                # Tech-Stack-spezifische Patterns (Phase 2 WIP)
+```
+
+---
+
+## Provenance-Disziplin
+
+Dieser Skill folgt einer **zero-tolerance**-Politik gegen halluzinierte
+Az.-Nummern (siehe SKILL.md §5):
+
+1. Jede Az. im Output muss aus `references/bgh-urteile.md` (mit Source-URL)
+   stammen ODER in der aktuellen Session per WebSearch primaer-quellen-verifiziert
+   sein.
+2. Verdaechtige Az.-Pattern (Placeholder-Nummern, Az.-Jahr-Mismatch, frische
+   2024-2026-Az. ohne Source) werden VOR Output mit WebSearch geprueft.
+3. Wenn nicht verifizierbar → Az. wird entfernt oder als `[ungeprueft]` markiert.
+
+Hintergrund: ein halluziniertes Az. in einem Compliance-Doc kann die
+Grundlage einer falschen Mandanten-Entscheidung sein. Als Skill ohne
+RDG-Zulassung ist die einzige ehrliche Position: was nicht beweisbar ist,
+wird nicht ausgegeben.
+
+---
+
+## Contribution-Guidelines
+
+### Was beitragen?
+
+- **Neue Az.-Eintraege** in `references/bgh-urteile.md` — mit Source-URL
+  zur Primaerquelle (juris.bundesgerichtshof.de, curia.europa.eu, OLG-Portale)
+- **Neue Branchen** in `references/branchenrecht.md` — mit Trigger-Pattern,
+  Pflicht-Pruefungen, typischen Verstoessen, Az.-Belegen
+- **Neue Stack-Patterns** in `references/stack-patterns/` — pro Framework /
+  Auth-/Payment-/Tracking-/AI-Provider ein File mit Code-Snippet + DPA-Quelle
+  + DSE-Wording-Vorlage
+- **Neue Checklisten** in `references/checklisten.md` — fuer neue Compliance-Themen
+- **Bugs in Audit-Pattern** — wenn der Skill ein Pattern uebersieht oder einen
+  False-Positive produziert: Issue mit Repro-Beispiel
+
+### Wie beitragen?
+
+1. Pull-Request mit klarem Title (`add: BGH I ZR XXX/YY zu Cookie-Compliance`)
+2. Pro Az.-Eintrag Pflicht-Felder: Az., Datum, Tenor (1-3 Saetze), Anwendung,
+   Source-URL (Primaerquelle bevorzugt)
+3. Bei Sekundaerquelle (dejure.org, openjur.de, etc.): Tag `[secondary-source-verified]`
+4. CHANGELOG.md updaten
+5. CI-Tests pass (Brand-Sanitization-Check, Az.-Provenance-Check)
+
+### Was NICHT beitragen
+
+- **Keine halluzinierten Az.** Wenn du eine Quelle nicht primaer auffindbar
+  belegen kannst → entweder Sekundaerquelle mit Tag oder weglassen.
+- **Keine Brand-spezifischen Snippets**. Templates muessen anonymisiert sein
+  (`<placeholder>`-Pattern). Konkrete Code-Beispiele aus Live-Brands gehoeren
+  in dein eigenes Repo, nicht hier.
+- **Keine Rechtsberatung-Aussagen**. Reference-Files dokumentieren Recht,
+  geben aber keine Beratungs-Empfehlung — der Skill-Output ist eine
+  technisch-indikative Vor-Pruefung, keine Beratung.
+- **Keine PRs ohne Provenance**. Az. + Source-URL ist Pflicht.
+
+---
+
+## Quellen-Acknowledgments
+
+- **gesetze-im-internet.de** (Bundesministerium der Justiz) — gemeinfreie
+  Werke nach § 5 UrhG, Pflicht-Quelle fuer DE-Gesetze
+- **eur-lex.europa.eu** (Europaeische Union) — Creative Commons Attribution 4.0
+  fuer EU-Verordnungen + Richtlinien
+- **juris.bundesgerichtshof.de** — BGH-Entscheidungen-Datenbank
+- **curia.europa.eu** — EuGH-Entscheidungen
+- **edpb.europa.eu** — European Data Protection Board (Guidelines)
+- **bsi.bund.de** — BSI (Mindestanforderungen IT-Sicherheit)
+
+Sekundaerquellen (mit Provenance-Tag): dejure.org, openjur.de, rewis.io,
+medien-internet-und-recht.de, IHK-Stellungnahmen, etablierte Anwalts-Blogs.
+
+---
+
+## Roadmap zu v4.0.0
+
+Siehe [`CHANGELOG.md`](./CHANGELOG.md) Block `[Unreleased]`. Schwerpunkt:
+
+- Maxout `references/gesetze/` (DSGVO, BDSG, TDDDG, BGB, UWG, ...)
+- 100+ Az. in `references/bgh-urteile.md` (alle mit Source-URL)
+- 30+ Stack-Pattern-Files
+- 20+ Branchen in `references/branchenrecht.md`
+- Out-of-Corpus-Validation gegen Live-Brands
+- OSS-Release auf AEGIS-Repo (User-authorized)
+
+---
+
+## License
+
+MIT — siehe [`LICENSE`](./LICENSE).