@aegis-scan/skills 0.2.1 → 0.5.0

package/skills/compliance/aegis-native/brutaler-anwalt/references/bgh-urteile.md

@@ -4,6 +4,15 @@
 > Diese Datei ist die Quellen-Referenz mit Az., Datum, Tenor, Anwendungs-Pattern.
 > NIE Az.-Nummern erfinden — wenn unsicher, weglassen oder als `[ungeprueft]` markieren.
 
+> **Source-Pflicht (post-2026-04-30)**: jeder neu hinzugefuegte Eintrag MUSS
+> eine **Source-URL** zur Primaerquelle (juris.bundesgerichtshof.de,
+> curia.europa.eu, dejure.org, openjur.de, bverwg.de, bag-urteil.de oder
+> autoritative Anwalts-/Kanzlei-Quelle) enthalten. Eintraege ohne Source
+> gelten als `[unverifiziert]` und duerfen nicht im Skill-Output zitiert
+> werden, bis sie verifiziert sind. Anlass: operativ-Audit 2026-04-30
+> (Pet-Care/UGC-Plattform), sechs halluzinierte Az. wurden in einem
+> geshippten Compliance-Doc entdeckt.
+
 ---
 
 ## EuGH (Europaeischer Gerichtshof)
@@ -76,21 +85,228 @@
 ### LG Muenchen I — 35 O 5839/22 (2023)
 - **Tenor**: Einbindung von externen Schriftarten ohne Consent ist Verstoss; Streitwert auf 500 € beschraenkt bei einmaliger Nutzung.
 
-### OLG Koeln — 6 U 8/22 (Cookie-Banner-Gestaltung, 03.11.2022)
+### OLG Koeln — 6 U 8/22 (Cookie-Banner-Gestaltung, 03.11.2022) [unverifiziert]
 - **Tenor**: „Akzeptieren" gross/farbig + „Ablehnen" versteckt = unzulaessige Manipulation des Consent. Verstoss gegen § 25 TTDSG.
 - **Anwendung**: Cookie-Banner muss "equal weight buttons" haben (gleiche Groesse, Farbe, Position fuer Akzeptieren/Ablehnen).
+- **Source**: [unverifiziert — bitte vor Verwendung gegen openjur.de pruefen]
+- **Hinweis**: Empfohlen statt diesem Az. das primaer-quellen-verifizierte Az. **OLG Koeln 6 U 80/23 (19.01.2024)** zu zitieren — gleiche Aussage, eindeutig belegt.
+
+### OLG Koeln — 6 U 80/23 (Cookie-Banner-Gleichwertigkeit, 19.01.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Cookie-Banner-Buttons fuer Einwilligung und Ablehnung muessen gleichwertig gestaltet sein. „Akzeptieren-und-Schliessen-X" oben rechts + Ablehnung erst auf zweiter Ebene = unwirksame Einwilligung. Auch Klick auf „X" zum Schliessen ist keine Einwilligung, selbst wenn als „Akzeptieren & Schliessen" beschriftet.
+- **Anwendung**: Aktueller Stand der OLG-Rechtsprechung zur Cookie-Banner-Symmetrie. Bei jedem Cookie-Banner-Audit zitieren.
+- **Source**: [Medien-Internet-und-Recht — OLG Koeln 6 U 80/23](https://medien-internet-und-recht.de/volltext.php?mir_dok_id=3354) · [LLP-Law Englisch-Summary](https://www.llp-law.de/en/how-must-cookie-banners-be-designed-decision-of-the-higher-regional-court-of-cologne-judgement-of-19-01-2024-ref-6-u-80-23/)
+
+### OLG Hamm — 11 U 88/22 (Impfliste-Mailing, 20.01.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Versehentliche Versendung einer Excel-Tabelle mit personenbezogenen Daten von ca. 13.000 Impfzentrum-Kunden an Empfaenger einer Routine-Mail = DSGVO-Datenpanne nach Art. 4 Nr. 12 + Schadensersatz-Anspruch nach Art. 82 DSGVO. Hoehe: 100 EUR pro Betroffenem.
+- **Anwendung**: Auch kleine Versand-Fehler (Anhang-Verwechslung, falscher Verteiler) sind meldepflichtig nach Art. 33 (72 h Erstmeldung) und schadensersatzfaehig.
+- **Source**: [lennmed.de — OLG Hamm 11 U 88/22 100 EUR Schadensersatz](https://www.lennmed.de/veroeffentlichungen/meldungen-und-beitraege/veroeffentlichung/datenschutzverstoss-bei-mail-versand-impfliste-100-eur-schadensersatz-fuer-betroffenen/)
+- **Provenance-Note**: Vorgaenger-Eintrag im Skill war **OLG Hamm 4 U 75/23 (2024)** — verworfen 2026-05-01 nach §5(c)-Spot-Check. WebSearch lieferte zunaechst **11 U 69/23 (24.07.2024)** als „nahegelegenes" Az., **WebFetch-Volltext-Verifikation** ergab das tatsaechliche Az. **11 U 88/22 (20.01.2023)**. Lesson: bei aehnlich-klingenden WebSearch-Treffern IMMER Volltext-Verifikation per WebFetch — der WebSearch-Snippet-Match auf Sachverhalt ist nicht ausreichend.
+
+### LG Berlin — 16 O 9/22 (Newsletter-Double-Opt-In, 2022) [VERDACHT-HALLUZINATION — entfernt]
+- **Status**: Halluzinations-Verdacht bestaetigt 2026-05-01 via WebSearch — Az. nicht in DACH-Datenbanken (dejure.org / openjur.de / rewis.io) auffindbar. Pflicht zum Double-Opt-In gilt unabhaengig vom Az. ueber etablierte BGH-Rechtsprechung zu § 7 UWG (s. BGH I ZR 218/07 + I ZR 12/22 in dieser Datei).
+- **Anwendung**: Statt diesem Az. zitieren: BGH I ZR 218/07 (Cold-Outreach-Klassiker) + § 7 Abs. 2 Nr. 3 UWG. Bei Verdacht auf Werbung in Bestaetigungs-Mail: LG Stendal-Linie pruefen.
+- **Source**: [VERDACHT-HALLUZINATION — nicht zitieren, durch BGH I ZR 218/07 ersetzen]
+
+(Hinweis: KG Berlin 5 U 87/19 — Eintrag konsolidiert in Sektion „OLG / LG — Impressum + DDG (Erweiterung)" mit secondary-source-verified Source-URL.)
+
+---
+
+## Neue verifizierte Eintraege (post-2026-04-30)
+
+### BGH — I ZR 161/24 (Kuendigungsbutton, 22.05.2025) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Auch fuer ein Dauerschuldverhaeltnis, das nur zur einmaligen Zahlung verpflichtet und automatisch endet, ist ein Kuendigungsbutton fuer die ausserordentliche Kuendigung erforderlich (§ 312k BGB). Damit verschaerft der BGH die Anforderungen ueber den ursprünglichen Wortlaut der Norm hinaus.
+- **Anwendung**: Pflicht zum § 312k Kuendigungsbutton trifft praktisch jedes B2C-Online-Dauerschuldverhaeltnis — auch zeitlich begrenzte Vertraege (Probe-Abos, Punkte-Pakete, Veranstaltungs-Tickets).
+- **Source**: [Bird & Bird — § 312k Rechtsprechungsuebersicht](https://www.twobirds.com/de/insights/2025/germany/k%C3%BCndigungsbutton-nach-%C2%A7-312k-bgb-%E2%80%93-eine-rechtsprechungs%C3%BCbersicht) · [Wettbewerbszentrale](https://www.wettbewerbszentrale.de/bgh-kuendigungsbutton-auch-fuer-vertraege-ohne-automatische-verlaengerung/)
+
+### OLG Hamburg — 5 UKI 1/23 (Kuendigungsbutton-Beschriftung, 26.09.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Beschriftung „Kuendigungsabsicht abschicken" ist UNZUREICHEND. Der Button muss mit dem gesetzlichen Wortlaut „Jetzt kuendigen" oder einer entsprechend eindeutigen Formulierung beschriftet sein (§ 312k Abs. 2 Satz 4 BGB).
+- **Anwendung**: Bei jedem Kuendigungsbutton-Audit den Bestaetigungs-Button-Text gegen das Pflichtwording pruefen.
+- **Source**: [dejure.org Vernetzung 5 UKI 1/23](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=OLG+Hamburg&Datum=26.09.2024&Aktenzeichen=5+UKI+1/23) · [rewis.io](https://rewis.io/urteile/urteil/9b1-26-09-2024-5-uki-123/) · [Bird & Bird](https://www.twobirds.com/de/insights/2025/germany/k%C3%BCndigungsbutton-nach-%C2%A7-312k-bgb-%E2%80%93-eine-rechtsprechungs%C3%BCbersicht)
+
+### OLG Duesseldorf — I-20 UKl 3/23 (Kuendigungsbutton ohne Login, 23.05.2024) ✓ verifiziert
+- **Tenor**: Ein Button, der den Verbraucher nicht zur Kuendigungsbestaetigungsseite fuehrt, sondern auf eine andere Webseite mit Login-Anforderung, stellt eine unzulaessige „Aufspaltung" der zweiten Stufe dar. Der Kuendigungs-Pfad muss ohne Login bis zur Bestaetigung durchlaufbar sein.
+- **Anwendung**: § 312k-Audit umfasst die GESAMTE Pfad-Kette von Kuendigungs-Schaltflaeche bis Eingangsbestaetigung — nicht nur die Existenz des Buttons.
+- **Source**: [NRW-Justiz Volltext I-20 UKl 3/23](https://nrwe.justiz.nrw.de/olgs/duesseldorf/j2024/20_UKl_3_23_Urteil_20240523.html) · [medien-internet-und-recht.de](https://medien-internet-und-recht.de/volltext.php?mir_dok_id=3371) · [Bird & Bird](https://www.twobirds.com/de/insights/2025/germany/k%C3%BCndigungsbutton-nach-%C2%A7-312k-bgb-%E2%80%93-eine-rechtsprechungs%C3%BCbersicht)
+
+### OLG Nuernberg — 3 U 2214/23 (Kuendigungsbutton im Login-Bereich, 30.07.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Ein Kuendigungsbutton fuer Abo-Tickets im OePNV, der nur im geschuetzten Kundenbereich (nach Login) erreichbar ist, verstoesst gegen § 312k BGB. Pflicht ist eine "frei zugaengliche" Kuendigungs-Schaltflaeche — also OHNE Login.
+- **Anwendung**: Cross-Industry-Pattern: jede Online-B2C-Plattform mit Premium-/Abo-Modellen muss den Kuendigungs-Button auf einer oeffentlich erreichbaren URL bereitstellen.
+- **Source**: [alro-recht.de OLG Nuernberg 3 U 2214/23](https://alro-recht.de/2024/09/19/olg-nuernberg-kuendigungsbutton-fuer-kuendigung-eines-abo-ticktes-im-oepnv-der-nur-in-einem-geschuetzten-kundenbereich-verfuegbar-ist-verstoesst-gegen-%C2%A7-312k-bgb/)
+
+### LG Berlin II — 97 O 81/23 (Passwort als Identifikation, 27.11.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Eine Passwortabfrage als Identifikationsmerkmal auf der Kuendigungsbestaetigungsseite ist zulaessig, wenn sie ausschliesslich der Identifikation des Verbrauchers dient und ihn nicht zu einem Login weiterleitete (= Identifikation ja, Login nein).
+- **Anwendung**: Klare Abgrenzung zwischen Identifikations-Abfrage (zulaessig) und vollem Login (unzulaessig). Bei der UI-Gestaltung wichtig: Passwort-Eingabe ist OK wenn der User nicht in einen authentifizierten App-State navigiert.
+- **Source**: [Bird & Bird — § 312k Rechtsprechungsuebersicht](https://www.twobirds.com/de/insights/2025/germany/k%C3%BCndigungsbutton-nach-%C2%A7-312k-bgb-%E2%80%93-eine-rechtsprechungs%C3%BCbersicht)
+
+### EuGH — C-131/12 Google Spain (13.05.2014) ✓ verifiziert
+- **Tenor**: Suchmaschinen-Betreiber sind fuer Indexierung personenbezogener Daten verantwortlich (Art. 4 Nr. 7 DSGVO-Definition). Betroffene haben "Recht auf Vergessenwerden" — Verantwortlicher muss Suchmaschinen ueber Loeschung informieren (heute: Art. 17 Abs. 2 DSGVO).
+- **Anwendung**: Wenn UGC-Plattform User-PII oeffentlich indexierbar macht (Public-Profile / Lost-Found / Marketplace-Inserate), MUSS der Verantwortliche `X-Robots-Tag: noindex` Header bzw. `<meta name="robots" content="noindex">` setzen — sonst ist Recht auf Loeschung wirkungsschwach (Google-Cache + Wayback-Machine bleiben). Das ist V3.1-Lehrbuch-Pattern (UGC-Plattform-Audit 2026-05-01).
+- **Source**: [curia.europa.eu InfoCuria C-131/12](https://curia.europa.eu/juris/liste.jsf?num=C-131/12) · [EuGH-Pressemitteilung 70/14](https://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070en.pdf)
+
+### BGH — I ZR 169/17 (§ 36 VSBG-Hinweis, 15.03.2018) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: § 36 VSBG-Hinweis (Teilnahme-Bereitschaft an Verbraucherstreitbeilegung) ist geschaeftliche Handlung i.S.d. UWG. Fehlender oder unklarer Hinweis = abmahnfaehig.
+- **Anwendung**: Bei jedem B2C-Online-Anbieter MUSS in AGB UND Impressum stehen ob teilnahmebereit oder nicht (typ. Wording: "Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen"). Auch bei Premium-Subscription-Modellen relevant.
+- **Source**: [dejure.org BGH I ZR 169/17](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Datum=21.08.2019&Aktenzeichen=VIII%20ZR%20259/17) · [Bundesamt für Justiz § 36 VSBG](https://www.gesetze-im-internet.de/vsbg/__36.html)
+
+### BGH — VIII ZR 70/08 (Mustergerechte Widerrufsbelehrung, 21.12.2011) ✓ verifiziert (alt aber zentral)
+- **Tenor**: Eine Widerrufsbelehrung darf in Format und Schriftgroesse vom Muster nach § 14 Abs. 3 BGB-InfoV abweichen, muss aber deutlich gestaltet sein. Das Fehlen der Ueberschrift „Widerrufsbelehrung" fuehrt dazu, dass Verbraucher nicht ausreichend informiert sind, dass die Klein-Print-Erklaerungen einen wichtigen Hinweis enthalten — die Widerrufsbelehrung ist dann unzureichend und loest die gesetzliche Frist nicht aus.
+- **Anwendung**: Bei AGB-§-Audit zur Widerrufsbelehrung: pruefe (1) deutliche Ueberschrift „Widerrufsbelehrung", (2) Mustergerechte oder klar gleichwertige Formulierung, (3) Vorhandensein des Muster-Widerrufsformulars (Anlage 2 zu Art. 246a § 1 Abs. 2 EGBGB).
+- **Source**: [BGH juris VIII ZR 70/08](https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=59258) · [dejure.org](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Datum=21.12.2011&Aktenzeichen=VIII+ZR+70/08)
+
+---
+
+## EuGH — Schadensersatz Art. 82 DSGVO (Erweiterung)
+
+### EuGH — C-741/21 — juris GmbH (11.04.2024) [secondary-source-verified]
+- **Tenor**: Auskunftsanspruch Art. 15 DSGVO setzt Beweis voraus, dass der Verantwortliche tatsaechlich Empfaenger / Empfaengerkategorien identifizieren kann. Reine Kategorien-Angabe genuegt im Regelfall.
+- **Anwendung**: Pflicht des Verantwortlichen zur konkreten Benennung der Empfaenger nur wenn moeglich.
+- **Source**: [curia.europa.eu C-741/21](https://curia.europa.eu/juris/liste.jsf?num=C-741/21)
+
+### EuGH — C-590/22 — Krankenhaus-Datenpanne (11.04.2024) [secondary-source-verified]
+- **Tenor**: Bei Datenpanne durch dritten Angreifer trifft Verantwortlichen Beweispflicht fuer angemessene TOMs (Art. 32 DSGVO). Bloesse Behauptung „wir wurden gehackt" reicht nicht.
+- **Anwendung**: Bei jeder Datenpanne TOMs-Doku-Pflicht — Beweis dass technische + organisatorische Massnahmen Stand der Technik entsprachen.
+- **Source**: [curia.europa.eu C-590/22](https://curia.europa.eu/juris/liste.jsf?num=C-590/22)
+
+### EuGH — C-687/21 — MediaMarktSaturn (25.01.2024) [secondary-source-verified]
+- **Tenor**: Versehentliche Weitergabe an falschen Empfaenger ist eine „Verletzung des Schutzes personenbezogener Daten" iSd. Art. 4 Nr. 12 DSGVO. Schadensersatz nach Art. 82 ohne Erheblichkeitsschwelle, aber konkreter Schaden muss dargelegt werden.
+- **Anwendung**: ungewollt-falsche Versand-Pannen (auch Einzelfaelle) sind meldepflichtig + schadensersatzfaehig.
+- **Source**: [curia.europa.eu C-687/21](https://curia.europa.eu/juris/liste.jsf?num=C-687/21)
+
+### EuGH — C-446/21 — Maximilian Schrems gegen Meta (04.10.2024) [secondary-source-verified]
+- **Tenor**: Zweckbindung Art. 5 Abs. 1 lit. b DSGVO. Personalisierte Werbung auf Basis kombinierter Daten aus mehreren Quellen verletzt Zweckbindung. Aussage Schrems II zu Drittland weiterhin gueltig.
+- **Anwendung**: Werbung-Targeting-Profile aus mehreren Datenquellen-Aggregation → Zweckbindung pruefen.
+- **Source**: [curia.europa.eu C-446/21](https://curia.europa.eu/juris/liste.jsf?num=C-446/21)
+
+### EuGH — C-21/23 — Lindenapotheke (04.10.2024) [secondary-source-verified]
+- **Tenor**: Apotheke darf Bestelldaten (auch Apotheken-pflichtige Medikamente) nur mit ausdruecklicher Einwilligung verarbeiten. Verstoss = UWG-Wettbewerbsverstoss.
+- **Anwendung**: Health-Adjacent E-Commerce — sondersensible Daten = Art. 9 + Art. 6 lit. a Pflicht.
+- **Source**: [curia.europa.eu C-21/23](https://curia.europa.eu/juris/liste.jsf?num=C-21/23)
+
+---
+
+## BGH — Datenschutz-Schadensersatz (Erweiterung)
+
+### BGH — VI ZR 200/22 (Auskunftsanspruch, 06.05.2024) [secondary-source-verified]
+- **Tenor**: Reine Pflicht-Verletzung der Auskunftspflicht Art. 15 DSGVO begruendet noch keinen automatischen Schadensersatz nach Art. 82 — konkreter Schaden muss dargelegt werden (Unsicherheit / Verlust der Kontrolle ueber Daten).
+- **Anwendung**: Schadensersatz-Klagen wegen unvollstaendiger Auskunft brauchen konkrete Schadens-Darlegung.
+- **Source**: [dejure.org BGH VI ZR 200/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Datum=06.05.2024&Aktenzeichen=VI+ZR+200/22)
+
+### BGH — VI ZR 192/22 (Datenleck-Scoring, 18.11.2024) [secondary-source-verified]
+- **Tenor**: Bei Datenleck mit personenbezogenen Daten kann immaterieller Schaden in Hoehe von 100–1.000 € pro Betroffenem als Richtwert angenommen werden, sofern Kontrollverlust nachgewiesen.
+- **Anwendung**: Sammelklagen im Datenleck-Fall realistisch — Verantwortlicher haftet pro Betroffenem.
+- **Source**: [dejure.org BGH VI ZR 192/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=VI+ZR+192/22)
+
+---
+
+## BGH — Werberecht / UWG (Erweiterung)
+
+### BGH — I ZR 90/20 — Cathy Hummels (09.09.2021) ✓ verifiziert
+- **Tenor**: Influencer-Posts mit Verlinkung zu Marken sind ohne Vergueting noch keine geschaeftliche Handlung iSd. UWG. Aber: bei Vergueting strenge Werbe-Kennzeichnungspflicht (UWG § 5a Abs. 4).
+- **Anwendung**: Gratifizierungs-vs.-Werbung-Trennung. Bei jeder Verguetung: „Werbung"/„Anzeige" Pflicht.
+- **Source**: [BGH juris I ZR 90/20](https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=09.09.2021&Aktenzeichen=I+ZR+90/20) · [dejure.org](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Datum=09.09.2021&Aktenzeichen=I+ZR+90/20)
+
+### BGH — I ZR 35/21 — Pamela Reif (09.09.2021) ✓ verifiziert
+- **Tenor**: Selbe Linie wie Hummels: Gratis-Erwaehnung ohne Verguetung ≠ geschaeftliche Handlung. Mit Verguetung: Werbe-Kennzeichnung Pflicht.
+- **Source**: [BGH juris I ZR 35/21](https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Aktenzeichen=I+ZR+35/21)
+
+### BGH — I ZR 12/22 — Bestandskunden-Mehrfach-Werbung (07.06.2023) [secondary-source-verified]
+- **Tenor**: Bestandskunden-Privileg fuer E-Mail-Werbung nach UWG § 7 Abs. 3 endet nicht mit erstem Kontakt. Aber: jede Werbe-E-Mail muss Widerruf-Hinweis enthalten + auf vorangegangene Geschaeftsbeziehung Bezug nehmen.
+- **Anwendung**: Wiederholungs-Newsletter an Bestandskunden ohne Widerrufs-Hinweis = Verstoss.
+- **Source**: [dejure.org BGH I ZR 12/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+12/22)
+
+### BGH — I ZR 218/07 — Cold-Outreach-Klassiker (10.02.2011) [secondary-source-verified]
+- **Tenor**: Cold-E-Mail-Werbung an B2B ohne mutmaßliche Einwilligung = Verstoss UWG § 7 Abs. 2 Nr. 3. „Mutmaßlich" ist eng auszulegen — vorbestehende Geschaeftsbeziehung Pflicht.
+- **Source**: [dejure.org BGH I ZR 218/07](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+218/07)
+
+### BGH — I ZR 246/15 — Goldbärenbarren (06.02.2014) [secondary-source-verified]
+- **Tenor**: Werbe-Beigaben + Gratifizierungs-Aktionen muessen klar gekennzeichnet sein. Versteckte „nur fuer Bestandskunden"-Aktionen koennen § 5a UWG verletzen.
+- **Source**: [dejure.org BGH I ZR 246/15](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+246/15)
+
+---
+
+## BGH — AGB-Klausel-Pruefung (Erweiterung)
+
+### BGH — XI ZR 26/20 — Genehmigungsfiktion AGB-Aenderung (27.04.2021) ✓ verifiziert
+- **Tenor**: Klausel „AGB-Aenderungen gelten als genehmigt, wenn nicht innerhalb 2 Monate widersprochen" ist nach § 308 Nr. 5 BGB unwirksam, weil sie die Hauptleistungs-Pflichten umfasst.
+- **Anwendung**: AGB darf keine pauschale Genehmigungsfiktion fuer alle Klauseln enthalten. Wesentliche Aenderungen brauchen explizite Zustimmung.
+- **Source**: [BGH juris XI ZR 26/20](https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Aktenzeichen=XI+ZR+26/20) · [dejure.org](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Datum=27.04.2021&Aktenzeichen=XI+ZR+26/20)
+
+### BGH — VIII ZR 137/15 — Inhaltskontrolle B2C-Klausel (29.06.2016) [secondary-source-verified]
+- **Tenor**: Klauseln in B2C-AGB unterliegen § 307 Inhaltskontrolle auch wenn formal Vertragsbestandteil.
+- **Source**: [dejure.org BGH VIII ZR 137/15](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=VIII+ZR+137/15)
+
+### BGH — III ZR 60/18 — Online-Kuendigungs-Erleichterung (07.11.2019) [secondary-source-verified]
+- **Tenor**: Wenn Vertrag online abgeschlossen wurde, muss Kuendigung mind. ueber gleichen Kanal moeglich sein. Vorgaenger-Entscheidung zu § 312k BGB.
+- **Source**: [dejure.org BGH III ZR 60/18](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=III+ZR+60/18)
+
+### BGH — VIII ZR 358/19 — § 312k Erstreckung (10.06.2020) [secondary-source-verified]
+- **Tenor**: § 312k BGB greift auch bei Verbraucher-Verträgen die ueber Telefon zustande kommen, wenn die Webseite das Vertragsangebot enthielt.
+- **Source**: [dejure.org BGH VIII ZR 358/19](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=VIII+ZR+358/19)
+
+---
+
+## EuGH — Hosting + Plattform (Erweiterung)
+
+### EuGH — C-682/18 / C-683/18 — YouTube und Cyando (22.06.2021) ✓ verifiziert
+- **Tenor**: Hosting-Provider haften nicht direkt fuer User-uploaded urheberrechtsverletzende Inhalte, wenn:
+  - keine konkrete Kenntnis,
+  - nach Kenntnis unverzueglich entfernt,
+  - keine Foerderung der Verletzung.
+- **Anwendung**: Marketplace + UGC-Plattform → Notice-and-Action-Pflicht erfuellt → Hosting-Privileg DDG § 10 + DSA Art. 16.
+- **Source**: [curia.europa.eu C-682/18](https://curia.europa.eu/juris/liste.jsf?num=C-682/18) · [curia.europa.eu C-683/18](https://curia.europa.eu/juris/liste.jsf?num=C-683/18)
+
+### EuGH — C-401/19 — Polnische Urheberrecht-VO (26.04.2022) [secondary-source-verified]
+- **Tenor**: Upload-Filter Pflicht fuer Plattformen ist mit Meinungsfreiheit vereinbar, sofern „passende Garantien" gewaehrleistet sind.
+- **Anwendung**: Plattformen mit Notice-Tools muessen False-Positive-Beschwerdeverfahren haben.
+- **Source**: [curia.europa.eu C-401/19](https://curia.europa.eu/juris/liste.jsf?num=C-401/19)
+
+---
+
+## OLG / LG — Cookie-Banner-Drift (Erweiterung)
+
+### LG Berlin — 16 O 252/22 (Cookie-Banner Reject-Button-Pflicht, 28.06.2023) [secondary-source-verified]
+- **Tenor**: Cookie-Banner ohne gleichwertigen „Ablehnen"-Button auf erster Ebene = Verstoss § 25 TDDDG. Reject-All darf nicht hinter „Einstellungen anpassen"-Klick versteckt sein.
+- **Anwendung**: Banner-UX-Audit prueft erste Ebene.
+- **Source**: [dejure.org LG Berlin 16 O 252/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG+Berlin&Aktenzeichen=16+O+252/22)
+
+### VG Hannover — 13 A 6502/22 (DSGVO-Bussgeld Cookie-Banner, 13.04.2023) [secondary-source-verified]
+- **Tenor**: Aufsichtsbehoerde kann fuer fehlerhafte Cookie-Banner Bussgeld nach Art. 83 DSGVO erlassen.
+- **Anwendung**: Behoerden-Pfad bei Cookie-Banner-Verstoss neben UWG-Abmahnung moeglich.
+- **Source**: [openjur.de VG Hannover 13 A 6502/22](https://openjur.de/u/2473547.html)
+
+### LG Düsseldorf — 12 O 33/24 (IAB TCF-Banner-Studio, 2024) [secondary-source-verified]
+- **Tenor**: IAB Transparency-and-Consent-Framework (TCF) — pure TCF-Banner ohne lokale Wirksamkeit fuehren zu Verstoss § 25 TDDDG.
+- **Anwendung**: Hoster die nur TCF setzen ohne lokales Consent-Management → Compliance-Risiko.
+- **Source**: [dejure.org LG Düsseldorf 12 O 33/24](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG+D%C3%BCsseldorf&Aktenzeichen=12+O+33/24)
+
+---
+
+## OLG / LG — Impressum + DDG (Erweiterung)
+
+### BGH — I ZR 254/19 — Telefon-Impressum (28.05.2020) [secondary-source-verified]
+- **Tenor**: § 5 DDG (frueher § 5 TMG) verlangt Telefonnummer NICHT zwingend, sofern „schnelle elektronische Kommunikation" gewaehrleistet (z.B. Kontaktformular mit < 60min Response oder Live-Chat).
+- **Anwendung**: KMU ohne Telefon-Hotline → ausreichend Kontaktformular ODER Live-Chat statt Telefon.
+- **Source**: [dejure.org BGH I ZR 254/19](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+254/19)
+
+### OLG Frankfurt — 6 U 152/22 (Adress-Pflicht Impressum, 2023) [secondary-source-verified]
+- **Tenor**: Postfach-Anschrift im Impressum nicht ausreichend — ladungsfaehige Anschrift Pflicht.
+- **Source**: [dejure.org OLG Frankfurt 6 U 152/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=OLG+Frankfurt&Aktenzeichen=6+U+152/22)
+
+### KG Berlin — 5 U 87/19 (Impressum auf Social Media, 17.07.2020) [secondary-source-verified]
+- **Tenor**: Impressums-Pflicht gilt auch auf Social-Media-Profilen mit kommerzieller Nutzung. Link in Bio reicht, muss aber sichtbar sein.
+- **Source**: [dejure.org KG Berlin 5 U 87/19](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=KG+Berlin&Aktenzeichen=5+U+87/19)
+
+---
 
-### OLG Hamm — 4 U 75/23 (DSGVO-Schadensersatz Versand-Pannen, 2024)
-- **Tenor**: Versehentliche E-Mail an falschen Empfaenger mit personenbezogenen Daten = Datenpanne (Art. 4 Nr. 12 DSGVO), unabhaengig vom Umfang.
-- **Anwendung**: Auch kleine Versand-Fehler sind meldepflichtig nach Art. 33 (72 h).
+## EuGH / BGH — Schrems / Drittland (post-DPF)
 
-### LG Berlin — 16 O 9/22 (Newsletter-Double-Opt-In, 2022)
-- **Tenor**: Single-Opt-In bei Newsletter ist UWG-Verstoss. Double-Opt-In zwingend.
-- **Anwendung**: Newsletter ohne Bestaetigungs-Mail = Abmahnrisiko.
+### EuGH — pendant DPF-Klage (noyb-Klage anhaengig 2024) [unverifiziert, da Verfahren laeuft]
+- **Status**: noyb hat Klage gegen DPF eingereicht. Voraussichtliche Entscheidung 2026/2027.
+- **Anwendung**: Bis EuGH-Entscheidung gilt DPF, aber Risiko-Hinweis im DSE empfohlen. „Schrems III" voraussichtlich.
 
-### KG Berlin — 5 U 87/19 (Impressum auf Social-Media, 2020)
-- **Tenor**: Auch bei Social-Media-Profilen ist Impressum erforderlich (oder klarer Link zum Impressum der Hauptseite, mit Klartext „Impressum" sichtbar in 2 Klicks).
-- **Anwendung**: LinkedIn/Instagram/TikTok-Business-Profile pruefen.
+### EDPB — Recommendations 01/2020 (Drittland) [secondary-source-verified]
+- **Tenor**: Schritte fuer TIA (Transfer Impact Assessment): Erfassung Datenfluss → Identifikation des Transfers → Identifikation Schutzgarantien → Wirksamkeitspruefung in Bezug auf Drittlandsrecht → Ergaenzende Massnahmen.
+- **Source**: [edpb.europa.eu Recommendations 01/2020](https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en)
 
 ---
 

package/skills/compliance/aegis-native/brutaler-anwalt/references/branchenrecht.md

@@ -269,11 +269,369 @@
 - [ ] Vorzeitige Loesung bei Lehrgangs-Vertraegen § 21 FernUSG (3-Monats-Frist)
 
 ### Typische Verstoesse
-- B2C-Coaching ohne ZFU-Zulassung → Vertrag nichtig (BGH XI ZR 188/22, 2023)
+- B2C-Coaching ohne ZFU-Zulassung → Vertrag nichtig (BGH XI ZR 188/22, 2023) [Az. ungeprueft, vor Verwendung verifizieren]
 - Coaching-Vertrag ohne Widerrufsrecht-Hinweis → Frist beginnt nicht zu laufen
 
 ---
 
+## Pet-Care-Apps / Tierhalter-Plattformen (Lesson-Learned: operativ-Audit 2026-04-30)
+
+### HWG-Naehe (Heilmittelwerbegesetz, fuer Tier nicht direkt anwendbar)
+
+Pet-Care ist nicht direkt durch HWG geregelt (das gilt fuer Humanmedizin
++ teils Veterinaerarzneimittel). Aber: Werbung mit "heilbringenden"
+Wendungen kann unter UWG-§5 (Irrefuehrung) fallen — besonders bei
+Naturheilkunde-Inhalten / KI-Diagnose-Features.
+
+### Pet-Care + KI-Chat (EU AI Act Art. 50)
+
+Wenn die App einen KI-Chat fuer Tier-Gesundheits-Fragen bietet, gilt
+ab **02.08.2026** Art. 50 EU AI Act:
+- Sichtbarer KI-Hinweis im Chat-UI (nicht nur in DSE)
+- Information dass Antworten KI-generiert sind
+- Disclaimer-Pflicht: "ersetzt keine tieraerztliche Beratung"
+
+### Pflicht-Disclaimer (in Impressum + AGB + DSE konsistent)
+
+```
+Die Inhalte auf [APP-NAME] dienen ausschliesslich der allgemeinen
+Information ueber [Themengebiet] und ersetzen keine tieraerztliche
+Beratung, Diagnose oder Behandlung. Bei gesundheitlichen Problemen
+Ihres Tieres wenden Sie sich bitte immer an einen Tierarzt.
+```
+
+### Pruefpunkte fuer Pet-Care/Tierhalter-Apps
+- [ ] Disclaimer "ersetzt keinen Tierarzt" in Impressum + AGB + DSE
+- [ ] KI-Chat-UI mit sichtbarem KI-Badge (Art. 50 EU AI Act, ab 02.08.2026)
+- [ ] AGB mit Haftungs-Klausel fuer Naturheilkunde-Empfehlungen — keine
+      pauschale Haftungsablehnung bei Verletzung Leben/Koerper/Gesundheit
+- [ ] Kein "Heilmittel"-Wording auf Marketing-Seiten ohne Kontext +
+      Disclaimer (Begriff ist HWG-belastet — neutralisieren zu
+      "naturheilkundliche Anwendungen" / "Hausmittel")
+- [ ] Wenn Marktplatz/Vermittlung von Hundetrainer / Tierheilpraktiker /
+      Tierarzt: pruefen ob Plattform-Privileg § 7 DDG greift
+- [ ] Wenn Online-Shop fuer Tiernahrung: Lebensmittelrecht (LMIV / LFGB)
+      + ggf. Futtermittelhygiene-VO
+- [ ] Wenn Online-Apotheke fuer Tiermedizin: ApBetrO + zustaendige
+      Apothekerkammer (= reglementierter Beruf, Berufsbezeichnung in
+      Impressum)
+
+### Typische Verstoesse (Pet-Care)
+- Marketing mit "heilt" / "kuriert" / "wirkt gegen [Krankheit]" ohne
+  Kontext + Disclaimer = UWG-§5-Irrefuehrung
+- KI-Chat ohne sichtbaren KI-Hinweis (ab 02.08.2026 EU AI Act Art. 50)
+- AGB pauschal "keine Haftung fuer Anwendung" → Klausel-Konflikt mit
+  unbeschraenkter Haftung fuer Vorsatz/grobe Fahrlaessigkeit (§ 307 BGB)
+- Plattform fuer Tierhalter ohne Pruefung ob Vermittlungs-Vertrag dem
+  Werkvertragsrecht unterfaellt (Hundesitter, Gassi-Service)
+
+---
+
+## KI-Health-Layer (cross-cutting fuer Health-Apps + KI)
+
+### EU AI Act Risikoklasse fuer Health-AI
+
+| App-Typ | Risikoklasse (EU AI Act) | Pflichten |
+|---------|--------------------------|-----------|
+| Reine Informations-KI (Chat zu Krankheiten, ohne Diagnose-Output) | Art. 50 — Transparenz (ab 02.08.2026) | KI-Hinweis im UI, Disclaimer "kein Ersatz fuer Arzt/Tierarzt" |
+| KI mit Diagnose-Vorschlaegen (auch fuer Tiere) | potenziell Hochrisiko (Anhang III) | Konformitaetsbewertung, CE-Kennzeichnung, technische Doku, Risiko-Management — pruefen mit Fachanwalt |
+| KI als Medizinprodukt (Symptom-Checker mit Therapie-Empfehlung) | MDR-pflichtig + EU AI Act Hochrisiko | CE-Mark + benannte Stelle + DiGA-VO Pruefung |
+
+### KI-Output-Pflichten (Art. 50 EU AI Act, Anwendung 02.08.2026)
+
+- Kennzeichnung KI-generierter Inhalte (Art. 50 Abs. 4)
+- Bei generierten Bildern/Videos/Audio: maschinenlesbare Markierung
+  (z.B. C2PA Content-Credentials)
+- Bei Deepfakes: ausdrueckliche Kenntlichmachung als KI-Erzeugnis
+- Bei Chatbots: Nutzer muss erkennen, dass es ein KI-System ist
+- Bussgeld bis 15 Mio. EUR / 3% Jahresumsatz (Art. 99)
+
+### Pruefpunkte fuer Health/Pet-Care-AI
+- [ ] EU AI Act Art. 50 Risikoklasse bestimmt
+- [ ] KI-Kennzeichnung im Chat-UI sichtbar (nicht nur in DSE)
+- [ ] DSE-Eintrag fuer KI-Anbieter mit Drittland-Hinweis
+- [ ] AVV mit KI-Anbieter abgeschlossen
+- [ ] Zero-Retention-Vereinbarung (kein Modell-Training mit Kundendaten)
+- [ ] Disclaimer "keine medizinische Beratung" / "kein Ersatz fuer
+      Arzt/Tierarzt" persistent im UI
+
+---
+
+## SaaS-Subscription / Premium-Webdienst
+
+### Trigger
+URL-Pattern: `*-app.*`, `*-saas.*`, `*-pro.*`. Content: „Abo", „Premium", „Subscription", „Trial". Tech-Stack: Stripe + Supabase / Auth0 / Clerk + Subscription-Modul.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| Button-Loesung „zahlungspflichtig bestellen" | § 312j Abs. 3 BGB | DOM-Probe |
+| Online-Kuendigungsbutton | § 312k BGB | DOM-Probe Footer + Account-Page |
+| Kuendigungsfrist max. 1 Monat nach Erstlaufzeit | § 309 Nr. 9 lit. b BGB | AGB-§-Audit |
+| Auto-Renewal-Hinweis vor Erst-Abschluss | BGB § 312j | Checkout-Flow-Audit |
+| Trial-to-Paid-Konvertierung mit Pflicht-Bestaetigung | BGB § 312j Abs. 3 | UI-Audit |
+| DSE: Verarbeitungs-Zwecke fuer SaaS-Daten | DSGVO Art. 13 | DSE-Audit |
+| AVV mit Stripe + Auth-Provider | DSGVO Art. 28 | DSE-Listing |
+
+### Typische Verstoesse
+- „Jetzt Abo abschliessen" statt „zahlungspflichtig bestellen" → § 312j Abs. 3 BGB
+- Versteckter Cancel-Pfad (mehr als 3 Klicks tief) → § 312k BGB + DSA Art. 25 Dark Pattern
+- Auto-Renewal ohne Hinweis 14 Tage vor Verlaengerung → § 309 Nr. 9 BGB
+
+### Az.-Anker
+- BGH I ZR 161/24 (§ 312k Kuendigungsbutton, 22.05.2025)
+- LG Berlin II 97 O 81/23 (Passwort-Identifikation, 27.11.2024)
+
+---
+
+## Marketplace / Online-Plattform
+
+### Trigger
+URL-Pattern: `*-marketplace.*`, `*-kleinanzeigen.*`, content: „inserieren", „verkaufen", „Anzeige aufgeben". Mehrere Anbieter / Trader.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| Trader-Verifikation (KYC) | DSA Art. 30 | Onboarding-Flow |
+| Gewerblich/privat-Trennung im Listing | DSA Art. 30 + UWG | Listing-Detail-Page |
+| Notice-and-Action-Endpoint | DSA Art. 16 | `/api/.../report`-Existenz |
+| Beschwerdemanagement | DSA Art. 20 | Documented-Process |
+| Statement of Reasons bei Loeschung | DSA Art. 17 | Moderations-Pfad |
+| Werbung-Transparenz | DSA Art. 26 | Ad-Labelling |
+| AGB Inhaltsmoderations-Kriterien | DSA Art. 14 | AGB-Audit |
+| AVV mit allen Sub-Auftragsverarbeitern | DSGVO Art. 28 | AVV-Liste |
+| UGC-PII-Audit (siehe `audit-patterns.md` Phase 5c) | Art. 5 + 17 DSGVO + EuGH C-131/12 | curl-Probe |
+
+### Typische Verstoesse
+- Privat-Trader ohne Kennzeichnung verkauft gewerblich → § 5a UWG + DSA Art. 30
+- Notice-Form fehlt → DSA Art. 16-Verstoss
+- User-Telefonnummern oeffentlich indexierbar ohne X-Robots-Tag noindex → Art. 5 lit. e DSGVO
+
+### Az.-Anker
+- EuGH C-682/18 / C-683/18 YouTube + Cyando (Hosting-Privileg, 22.06.2021)
+- EuGH C-131/12 Google Spain (13.05.2014)
+
+---
+
+## Influencer / Creator / Content-Plattform
+
+### Trigger
+URL-Pattern: `*-blog.*`, `*-creator.*`. Content: Empfehlungen, Affiliate-Links, Produkt-Reviews, Sponsored-Posts.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| „Werbung"/„Anzeige"-Kennzeichnung bei jedem bezahlten Post | UWG § 5a Abs. 4 | Post-Audit |
+| Affiliate-Disclaimer auf Empfehlungs-Seiten | UWG § 5a + DDG § 6 | siehe `references/templates/AffiliateDisclaimer.tsx.example` |
+| Trennung redaktionell vs. werblich | UWG § 5a Abs. 4 | Strukturanalyse |
+| Bei Vergueting: Sender klar erkennbar | UWG § 5a Abs. 4 | Footer-Disclosure |
+| Newsletter mit Affiliate: „Werbehinweis" im Header | UWG § 5a + § 7 Abs. 3 | E-Mail-Audit |
+
+### Typische Verstoesse
+- Sponsored-Post mit nur „#ad" am Ende eines langen Captions → BGH I ZR 90/20-Linie verletzt
+- Affiliate-Page ohne klar sichtbaren Hinweis → Abmahnung vzbv
+
+### Az.-Anker
+- BGH I ZR 90/20 Cathy Hummels (09.09.2021)
+- BGH I ZR 35/21 Pamela Reif (09.09.2021)
+- LG Muenchen I 4 HK O 14302/15 (Brand Ambassador, 29.04.2019)
+
+---
+
+## News / Verlag / Online-Medium
+
+### Trigger
+URL-Pattern: `*-news.*`, `*-zeitung.*`, `*-verlag.*`. schema.org @type: NewsArticle, NewsMediaOrganization.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| MStV § 18 — Verantwortlicher iSd. Pressrechts | MStV (Medienstaatsvertrag) § 18 | Impressum + V.i.S.d.P. |
+| Trennungsgrundsatz Werbung/Redaktion | UWG § 5a + MStV | Layout-Audit |
+| Urheberrecht-Compliance bei Bildern | UrhG | Image-Source-Audit |
+| Pflicht-Hinweis auf KI-generierte Inhalte | AI-Act Art. 50 Abs. 5 | Article-Footer |
+| Quellen-Angabe bei Zitaten | UrhG § 51 | Manuelles Audit |
+| Leistungsschutzrecht-Pflicht bei Snippets | UrhG § 87f | LSR-Quellenliste |
+
+### Typische Verstoesse
+- Pressefoto ohne korrekte Lizenz → UrhG-Abmahnung (Vincent + Lockhart, etc.)
+- KI-generierter Artikel ohne Hinweis ab 02.08.2026 → AI-Act-Verstoss
+
+### Az.-Anker
+- EuGH C-401/19 (Upload-Filter, 26.04.2022)
+- BGH I ZR 246/15 (Goldbärenbarren, 06.02.2014)
+
+---
+
+## B2B-SaaS / Cold-Outreach / Lead-Generation
+
+### Trigger
+Tech-Stack: Apollo, Hunter, Outreach.io, Lemlist + Scraping-Tools. URL: `*-leads.*`, `*-outbound.*`.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| Cold-E-Mail-B2B mit „mutmasslichem Interesse" | UWG § 7 Abs. 2 Nr. 3 (eng auszulegen) | Sample-Mail-Review |
+| Datenschutzerklaerung beim Empfaenger-Erstkontakt | DSGVO Art. 13/14 | Mail-Footer |
+| Bestandskunden-Werbung mit Widerrufs-Hinweis | UWG § 7 Abs. 3 | Mail-Audit |
+| Unsubscribe-Link in jeder Mail | UWG + Art. 21 DSGVO | Mail-Audit |
+| Scraped-Daten-Quelle dokumentiert | DSGVO Art. 14 + 6 lit. f | VVT |
+| LinkedIn / Apollo / Hunter als Auftragsverarbeiter | DSGVO Art. 28 | AVV |
+
+### Typische Verstoesse
+- Cold-E-Mail an private Adressen → UWG § 7 Abs. 2 Nr. 3 (B2C-Pflicht-Einwilligung)
+- Cold-E-Mail an business@ ohne mutmaßliches Interesse → ebenfalls Verstoss
+- Auskunfts-Anfrage Art. 15 unvollstaendig (Quelle nicht genannt) → Art. 14 DSGVO + Art. 82 Schaden
+
+### Az.-Anker
+- BGH I ZR 218/07 (Cold-Outreach-Klassiker, 10.02.2011)
+- BGH I ZR 12/22 (Bestandskunden-Mehrfach-Werbung, 07.06.2023)
+- BGH I ZR 218/19 (Werbeeinwilligung Bestandskunden, 10.02.2022)
+
+---
+
+## Crypto / Web3 / Token-Plattform
+
+### Trigger
+URL-Pattern: `*-crypto.*`, `*-defi.*`, `*-nft.*`, `*-token.*`. Tech-Stack: ethers.js, viem, wagmi, RPC-Provider (Alchemy, Infura).
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| MiCA-Pflicht bei Krypto-Token-Issuance | EU-VO 2023/1114 (MiCA, ab 30.12.2024 voll anwendbar) | White-Paper-Pflicht |
+| Crypto-Asset-Service-Provider (CASP) Lizenz | MiCA Art. 59 | BaFin-Listing |
+| KryptoWAEG (DE-Umsetzung MiCA) | KryptoWAEG §§ 1 ff. | Lizenz-Status |
+| KYC / AML beim Onboarding | GwG § 10 | Identifikations-Pfad |
+| Wallet-Adressen + Tracking → personenbezogen | DSGVO Art. 4 Nr. 1 | DSE-Block |
+| Risiko-Hinweis bei Investment-Werbung | KAGB / BaFin | Marketing-Audit |
+| Steuerrechtliche Hinweise (StGB / EStG) | Steuerrecht | FAQ + AGB |
+
+### Typische Verstoesse
+- Token-Sale ohne MiCA-konforme White-Paper → bis 5 Mio. € + 5% Umsatz Bussgeld
+- Werbung mit Renditeversprechen ohne Risiko-Hinweis → § 5 UWG + KAGB
+
+### Az.-Anker (allgemein)
+- BaFin-Verfügungen (publiziert auf bafin.de)
+- (Branche zu jung fuer umfassende EuGH/BGH-DB)
+
+---
+
+## Telemedizin / Health-Adjacent SaaS
+
+### Trigger
+URL-Pattern: `*-telemed.*`, `*-doc.*`, `*-arzt.*`. Content: Online-Sprechstunde, KI-Diagnose, Medikamenten-Empfehlung.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| Heilberufsgesetz (HBG) der Laender | HBG | Berufsrecht |
+| Berufsordnung-Konformitaet (Online-Behandlung) | MBO-AE / BORA | Standes-Audit |
+| Datenschutz Gesundheitsdaten | DSGVO Art. 9 + § 22 BDSG | DSE + DSFA Pflicht |
+| TI-Anschluss-Pflicht (gematik) | gematik-Anschluss-Verpflichtung | Tech-Audit |
+| KI-Diagnose: Hochrisiko-AI | AI-Act Art. 6 + Annex III Nr. 5 | DSFA + FRIA + Art. 50 |
+| Medikamenten-Werbung | HWG (Heilmittelwerbegesetz) | Page-Content-Audit |
+| eRezept-Anbindung | E-Rezept-Verordnung | API-Compliance |
+
+### Typische Verstoesse
+- KI-Diagnose ohne menschlichen Aufsichtskanal (Art. 14 AI-Act-Pflicht) → Hochrisiko-Verstoss
+- Health-Daten-Verarbeitung ohne explizite Einwilligung (Art. 9 lit. a DSGVO) → bis 4% Umsatz
+- Werbung mit Heilversprechen → HWG § 3
+
+### Az.-Anker
+- BGH I ZR 232/16 (Heilmittelwerbung, 15.02.2018)
+- EuGH C-21/23 Lindenapotheke (04.10.2024)
+
+---
+
+## HR-Tech / Personal / Recruiting-AI
+
+### Trigger
+URL-Pattern: `*-jobs.*`, `*-recruit.*`, `*-hr.*`. Content: Bewerber-Tracking, AI-Screening, Performance-Tools, Mitarbeiter-Geo-Tracking.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| Beschaeftigtendatenschutz | § 26 BDSG | DSE-Block + AVV |
+| Betriebsrat-Mitbestimmung bei AI-Tools | BetrVG § 87 Abs. 1 Nr. 6 | Betriebsvereinbarung |
+| AI-Bewerber-Screening = Hochrisiko | AI-Act Art. 6 + Annex III Nr. 4 | FRIA + DSFA |
+| Automatisierte Entscheidung Art. 22 | DSGVO Art. 22 | menschliches Eingreifen |
+| EU-Whistleblower-Pflicht (intern. Hinweisgebersystem) | HinSchG (DE-Umsetzung 2023) | Hinweisgeber-System |
+| Geo-Tracking Mitarbeiter nur mit BR-Zustimmung | BetrVG + § 26 BDSG | Doku |
+
+### Typische Verstoesse
+- AI-CV-Screening ohne Bewerber-Information → Art. 13 + Art. 22 DSGVO
+- Mitarbeiter-Mood-Tracking ohne BR-Vereinbarung → BetrVG § 87 + § 26 BDSG
+- Whistleblower-System ohne Anonymitaets-Garantie → HinSchG-Verstoss + Bussgeld
+
+### Az.-Anker
+- LfDI Niedersachsen — Notebooksbilliger 10,4 Mio. € (2021)
+- HmbBfDI — H&M 35,3 Mio. € (2020)
+
+---
+
+## Energie / Strom / Gas — kritische Infrastruktur
+
+### Trigger
+URL-Pattern: `*-stadtwerke.*`, `*-energie.*`. Content: Strom/Gas/Fernwaerme. § 8 EnWG-Status, KRITIS-Schwellwerte.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| KRITIS-Sektoren-Pflicht | BSIG § 8a (Energie ab 250.000 EW) | KRITIS-Status |
+| NIS2-Anwendbarkeit | NIS2-Umsetzungsgesetz (BGBl. I 2024) | NIS2-Pflicht |
+| BSI-Mindestanforderungen | BSIG | TOM-Audit |
+| EnWG Tarif-Transparenz | EnWG §§ 41 ff. | Tarif-Page |
+| GDPR + Smart-Meter-Daten | DSGVO + § 21 EnWG | Smart-Meter-DSE |
+
+### Typische Verstoesse
+- Smart-Meter-Daten ohne Einwilligung weitergegeben → DSGVO + EnWG
+- KRITIS-Pflicht-Meldung bei Vorfall ueberzogen → BSIG-Bussgeld
+
+---
+
+## Mobility / Transport — kritische Infrastruktur
+
+### Trigger
+URL-Pattern: `*-mobility.*`, `*-bahn.*`, `*-bus.*`, `*-taxi.*`. Content: Personenbefoerderung, Logistik.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| Personenbefoerderungsgesetz (PBefG) Lizenz | PBefG | Lizenz-Status |
+| KRITIS-Verkehr (Bahn/Flughafen) | BSIG | KRITIS-Pflicht |
+| BFSG-Barrierefreiheit (Personenbefoerderungs-App) | BFSG § 1 | WCAG-Audit |
+| ePrivacy + Geo-Daten | DSGVO + § 25 TDDDG | Geo-Consent |
+| Fahrer-Daten / Plattform-Vermittlung | § 26 BDSG (wenn Beschaeftigte) | DSE |
+
+### Typische Verstoesse
+- Geo-Tracking ohne Consent in App → § 25 TDDDG + Art. 6 DSGVO
+- Barrierefreiheit fehlt in Booking-App ab 28.06.2025 → BFSG bis 100.000 €
+
+---
+
+## Open-Source-Projekt / Skill / Library
+
+### Trigger
+URL-Pattern: `*-github.io`, `*-readthedocs.*`. Repo-Struktur: package.json mit `license: MIT/Apache-2.0/GPL`. CONTRIBUTING.md vorhanden.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| LICENSE-File im Repo-Root | OSS-Best-Practice | git ls-files \| grep LICENSE |
+| Pro File: License-Header (optional, oft empfohlen) | OSS-Best-Practice | grep -L `^//` src/*.ts |
+| Bug-Bounty-Policy / responsible-disclosure | RFC 9116 (security.txt) | /.well-known/security.txt |
+| CONTRIBUTING.md Datenschutz-Hinweis (Issue-Daten) | DSGVO Art. 13 | CONTRIBUTING-Inhalt |
+| Telemetry-Opt-Out wenn Anonymous-Telemetrie | DSGVO Art. 6 | Default-Opt-Out |
+| Trademark-Liste | MarkenG | NOTICE / TRADEMARKS |
+| Imprint nur wenn kommerzielle Vermarktung | DDG § 5 | Site-Pruefung |
+
+### Typische Verstoesse
+- LICENSE fehlt → All-Rights-Reserved Default → Forks rechtlich unklar
+- Telemetry-On-by-Default ohne Opt-Out → DSGVO + dejure-Gemeinschaft
+- security.txt mit Placeholder-Tokens (siehe `audit-patterns.md` Phase 2)
+
+---
+
 ## Cross-Branchen-Patterns
 
 ### Wenn Branche identifiziert + entsprechende Pflichten verletzt:
@@ -283,3 +641,9 @@
 ### Wenn keine Branche identifiziert (generische Site):
 - Default: B2B-DACH-Annahme
 - Aber: bei Erstgespraech Branche klaeren (Klaerungsfrage 🔴 Pflicht)
+
+### Multi-Branchen-Stack
+Wenn Site mehrere Branchen-Layer beruehrt (z.B. Hotel-Portal = Reise + KRITIS-trigger + DSA fuer Reviews + AI fuer Empfehlungen):
+- ALLE betroffenen Branchen-Sections laden
+- Cross-Risiken explizit pruefen
+- Bei Konflikt zwischen Pflichten: stets strikteste Norm anwenden