@aegis-scan/skills 0.4.0 → 0.5.0

package/skills/compliance/aegis-native/brutaler-anwalt/references/checklisten.md

@@ -112,6 +112,39 @@ Für jede Verarbeitung (Website-Besuch, Kontaktformular, Newsletter, Shop-Bestel
 
 ---
 
+## Checkliste 3b: AGB B2C-Online — Pflicht-Klauseln-Komplettliste (post-V3.1-Audit 2026-05-01)
+
+Bei B2C-Online-Anbietern (Webshop, SaaS-Subscription, App-Store-Abo) sind folgende Klauseln **gleichzeitig** Pflicht. Fehlt eine → typischer Abmahn-Hebel.
+
+| Pflicht-Klausel | Rechtsgrundlage | Verify-Command |
+|----------------|-----------------|----------------|
+| Widerrufsbelehrung (vollstaendig) | § 312g BGB + § 355 BGB | `grep -i "Widerrufsbelehrung\|14 Tage" agb.html` |
+| Muster-Widerrufsformular (Anlage 2 zu Art. 246a § 1 Abs. 2 EGBGB) | EGBGB | `grep -i "Muster.Widerrufsformular" agb.html` |
+| Button-Loesung "zahlungspflichtig bestellen" | § 312j Abs. 3 BGB | UI-Probe Checkout-Button |
+| § 312k BGB Online-Kuendigungsbutton-Hinweis (auch in AGB) | § 312k BGB | `grep -i "kuendigungsbutton\|jetzt kuendigen" agb.html` |
+| § 309 Nr. 9 lit. b BGB Monatskuendigung nach Erstlaufzeit | § 309 BGB (Faires-Verbraucher-Vertraege-Gesetz 2022) | `grep -i "monat\|monatlich.*kuendb" agb.html` |
+| § 36 VSBG-Hinweis (Verbraucherschlichtung-Bereitschaft) | § 36 VSBG | `grep -i "VSBG\|Verbraucherschlichtung\|Streitbeilegung" agb.html` |
+| Art. 14 ODR-Link (https://ec.europa.eu/consumers/odr/) | EU 524/2013 | `grep "ec.europa.eu/consumers/odr" agb.html` |
+| Genehmigungsfiktion-Verbot bei AGB-Aenderungen | § 308 Nr. 5 BGB + BGH XI ZR 26/20 | grep auf "gilt als genehmigt" → falls vorhanden = Verstoss |
+| AGB-Stand-Datum + Versionshistorie | Art. 5 lit. a DSGVO + Transparenz-Pflicht | `grep -oE "Stand:.{0,30}" agb.html` |
+
+**Az.-Anker:** BGH I ZR 169/17 (15.03.2018) für § 36 VSBG, BGH I ZR 161/24 (22.05.2025) für § 312k.
+
+## Checkliste 3c: Affiliate / Werbung / Influencer (UWG § 5a Abs. 4)
+
+| Surface | Pflicht-Disclaimer | Position | Verify |
+|---------|---------------------|----------|--------|
+| Empfehlungs-Page (Affiliate-Links) | "Werbehinweis: Diese Seite enthaelt Affiliate-Links" | OBEN sichtbar (vor Produkt-Listing), nicht nur Footer | `curl <url> \| grep -ic "Werbehinweis"` |
+| Einzelner Affiliate-Link | `*` Sternchen + Footnote ODER `[Werbung]`-Tag inline | inline am Link | DOM-Probe |
+| Influencer-Posts | "Werbung" / "Anzeige" | erste Zeile / Stories: Sticker | manuelles Audit |
+| Newsletter mit Affiliate | "Werbehinweis" im Header | erste Zeile | E-Mail-Inhalt-Audit |
+
+**Az.-Anker:** LG Muenchen I 4 HK O 14302/15 "Brand Ambassador" (29.04.2019, Influencer-Werbung als "Werbung"/"Anzeige") [secondary-source-verified]; BGH I ZR 125/14 "Goldbärenbarren" (06.02.2014, Werbeartikel-Kennzeichnung).
+
+**Component-Pattern:** wiederverwendbare `AffiliateDisclaimer`-Component im Layout der Empfehlungs-Routes einbauen. Component-Vorlage: `references/templates/AffiliateDisclaimer.tsx.example`. Einbau-Pattern: in `(dashboard)/empfehlungen/layout.tsx` o.ae. Layout-Datei der Affiliate-Routes.
+
+---
+
 ## Checkliste 4: Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO)
 
 ### Muss ein AVV abgeschlossen werden?

package/skills/compliance/aegis-native/brutaler-anwalt/references/dsgvo.md

@@ -97,6 +97,32 @@
 
 ---
 
+## DSFA-Trigger-Liste (Art. 35 DSGVO) — post-V3.1-Audit 2026-05-01
+
+DSFA = Datenschutz-Folgenabschätzung. Pflicht wenn "voraussichtlich hohes Risiko" (Art. 35 Abs. 1) oder Verarbeitung gem. DSK-Whitelist 2018 / BayLDA-Hinweise. KMU-Privileg gilt **nicht** für DSFA (anders als für VVT Art. 30 Abs. 5).
+
+| Trigger | DSFA-Status |
+|---------|-------------|
+| KI-Chat / KI-Auswertung mit User-PII (auch indirekt: Halter ueber Tier-Profile) | empfohlen (Art. 35 Abs. 3 lit. a Profiling-Naehe) |
+| Public-User-PII-Listings (Vermisst, Marketplace, oeffentliches Profil) | empfohlen (Art. 35 Abs. 3 lit. b umfangreiche Verarbeitung) |
+| Auswertung Gesundheitsdaten (auch Tier-Gesundheit + Halter-Daten kombiniert) | empfohlen |
+| Aggregation aus 3+ Auftragsverarbeitern in einem Profil | empfohlen |
+| Geo-Standort-Tracking | empfohlen |
+| Automatisierte Entscheidungen (Art. 22 DSGVO) | **Pflicht** |
+| Besondere Kategorien Art. 9 (auch nur Halter-Allergien beim Kontaktformular) | **Pflicht** |
+
+Bei Match → DSFA-Doc als interne Doku anlegen (Vorlage: BayLDA-Hinweise zur DSFA + DSK-Whitelist 2018). Beispiel-Template: siehe `references/templates/DSFA-template.md`.
+
+## VVT (Verzeichnis Verarbeitungstätigkeiten, Art. 30 DSGVO) — KMU-Best-Practice
+
+Pflicht-Status: Verantwortlicher mit ≥ 250 MA ODER regelmäßige Verarbeitung sensibler Daten ODER hohes Risiko. KMU-Privileg Art. 30 Abs. 5 → < 250 MA mit gelegentlicher Verarbeitung ohne Sonderkategorien sind nicht VVT-pflichtig.
+
+Best-Practice trotzdem: BayLDA empfiehlt VVT auch fuer KMU zur Erfuellung Rechenschaftspflicht Art. 5 Abs. 2.
+
+Mindestinhalt pro Verarbeitungstätigkeit: Zweck / Rechtsgrundlage / Datenkategorien / Empfaenger / Drittland-Status / Speicherdauer / TOMs.
+
+Beispiel-Template: siehe `references/templates/VVT-template.md`.
+
 ## Bußgeldrahmen (Art. 83 DSGVO)
 
 ### Stufe 1 — bis 10 Mio. € oder 2% Jahresumsatz (der höhere Betrag)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BDSG/paragraphs.md

@@ -0,0 +1,62 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/bdsg_2018/
+last-checked: 2026-05-01
+purpose: BDSG (Bundesdatenschutzgesetz, Fassung 2018) — DSGVO-Ergänzungsregeln + DSB-Pflicht + Beschäftigtendaten.
+---
+
+# BDSG — Audit-relevante Paragraphen
+
+> Volltext: https://www.gesetze-im-internet.de/bdsg_2018/
+
+## § 5 — Bestellung Datenschutzbeauftragter im öffentlichen Bereich
+Pflicht für öffentliche Stellen.
+
+## § 26 — Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
+
+- Abs. 1: zulässig wenn erforderlich für Begründung/Durchführung/Beendigung des Beschäftigungsverhältnisses
+- Abs. 2: Einwilligung im Beschäftigungsverhältnis nur wirksam wenn freiwillig
+- Abs. 3: besondere Kategorien Art. 9 nur unter strengen Voraussetzungen
+- Abs. 4: Kollektivvereinbarung als Rechtsgrundlage
+
+**Audit-Relevanz:**
+- HR-Tech-Apps (Recruiting, Performance-Tracking, Mitarbeiter-Geo)
+- Wenn AI-Tool für Bewerber-Screening genutzt → Art. 22 DSGVO + Art. 6 AI-Act (Hochrisiko-KI)
+
+## § 27 — Datenverarbeitung zu wissenschaftlichen / historischen Forschungszwecken
+Erlaubnis-Tatbestand mit zusätzlichen Schutzmaßnahmen.
+
+## § 35 — Recht auf Löschung (DSGVO-Konkretisierung)
+Wenn Löschung wegen Aufbewahrungspflichten nicht möglich → Einschränkung statt Löschung.
+
+## § 38 — Datenschutzbeauftragter im nicht-öffentlichen Bereich (DSB-Pflicht)
+
+- Abs. 1: Pflicht ab **20 Personen ständig mit automatisierter Verarbeitung beschäftigt** ODER
+- Abs. 1 S. 2: bei umfangreicher Verarbeitung sensibler Daten (Art. 9 DSGVO) ODER
+- Abs. 1 S. 2: bei DSFA-Pflicht-Verarbeitung
+- Abs. 2: ext. + int. DSB möglich
+
+**Audit-Relevanz:**
+- DSE-Pflicht Hinweis auf DSB (Art. 13 lit. b DSGVO)
+- DSB-Kontaktangabe im Impressum (best practice)
+
+## § 41 — Bußgeld-Sonderrechtsweg
+Anwendung der OWiG-Vorschriften auf DSGVO-Bußgelder.
+
+## § 42 — Strafvorschriften
+Vorsätzlicher Datenmissbrauch — bis 3 Jahre Freiheitsstrafe.
+
+## § 43 — Bußgeld-Vorschriften (BDSG-spezifisch)
+Ergänzung zu DSGVO Art. 83 für nationale Sondertatbestände.
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | BDSG-§ |
+|---------------|--------|
+| DSB-Pflicht | § 38 (≥ 20 MA Trigger) |
+| Beschäftigtendaten / HR-Tech | § 26 |
+| Forschungs-Verarbeitung | § 27 |
+| Lösch-Konflikt mit Aufbewahrung | § 35 |
+| Strafvorschriften | § 42 |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BFSG/paragraphs.md

@@ -0,0 +1,85 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/bfsg/
+last-checked: 2026-05-01
+purpose: BFSG — Barrierefreiheits-Stärkungsgesetz, Pflicht seit 28.06.2025 für B2C-Online-Angebote.
+---
+
+# BFSG — Audit-relevante Paragraphen
+
+> Barrierefreiheits-Stärkungsgesetz, BGBl. I 2021 S. 2970, in Kraft seit **28.06.2025**.
+> Volltext: https://www.gesetze-im-internet.de/bfsg/
+> Setzt EU-Richtlinie 2019/882 (European Accessibility Act) in deutsches Recht um.
+
+## § 1 — Anwendungsbereich
+
+Gilt für Produkte + Dienstleistungen, die Verbrauchern angeboten werden.
+
+## § 2 — Begriffsbestimmungen
+
+Erfasste Dienstleistungen:
+- Bankdienstleistungen
+- Personenbeförderungs-Apps
+- E-Books
+- E-Commerce (Webshops, Online-Buchungssysteme, Apps mit Vertragsabschluss)
+- Telekommunikationsdienste
+- Audiovisuelle Mediendienste
+
+## § 3 — Mikrounternehmen-Ausnahme
+
+Kein BFSG für Unternehmen die ALLE Bedingungen erfüllen:
+- < 10 Beschäftigte UND
+- Jahresumsatz < 2 Mio. EUR ODER Bilanzsumme < 2 Mio. EUR
+
+**Wichtig:** B2B-only-Angebote sind ebenfalls **außerhalb** des BFSG (gilt nur für B2C).
+
+## § 4 — Pflichten für Wirtschaftsakteure
+
+Produkte + Dienstleistungen müssen barrierefrei sein.
+
+## § 5 — Konformitätsbewertung
+
+Nachweis durch:
+- EU-Konformitätserklärung (für Produkte)
+- Selbsterklärung der Barrierefreiheit (für Dienstleistungen)
+
+## § 14 — Durchsetzung (BfArM-Pflichten als Marktüberwachungsbehörde)
+
+Bei Verstoß: Aufforderung zur Mängelbeseitigung, ggf. Bußgeld (BFSG §§ 18–22).
+
+## § 18 — Bußgelder
+
+Bis **100.000 €** je Verstoß.
+
+**Audit-Relevanz für Webshops + SaaS:**
+
+| Pflicht-Anforderung | WCAG-Anker | Verify |
+|---------------------|------------|--------|
+| Wahrnehmbarkeit (Alt-Text, Farb-Kontrast ≥ 4.5:1) | WCAG 2.1 Level AA | Lighthouse-Score ≥ 80 |
+| Bedienbarkeit (Tastatur-Navigation, Skip-Links) | WCAG 2.1 Level AA | axe-core / pa11y |
+| Verständlichkeit (Sprache deklariert, klare Labels) | WCAG 2.1 Level AA | manuelles Audit |
+| Robustheit (semantische HTML, ARIA korrekt) | WCAG 2.1 Level AA | axe-core |
+| Erklärung zur Barrierefreiheit | § 12 BITV 2.0 | Footer-Link „Barrierefreiheit" |
+| Feedback-Mechanismus | § 12 BITV 2.0 | Kontakt für Barriere-Meldung |
+
+**Source-URL Wettbewerbszentrale (Branchen-Leitfaden):** https://www.wettbewerbszentrale.de/barrierefreiheitsstaerkungsgesetz-gilt-ab-28-juni-2025-was-unternehmen-jetzt-wissen-muessen/
+
+## Erklärung zur Barrierefreiheit (Pflicht-Inhalt)
+
+Pflicht bei Inkrafttreten:
+- Stand der Erfüllung der Anforderungen (vollständig / teilweise / nicht)
+- Begründung bei Nicht-Konformität (oft: „unverhältnismäßige Belastung")
+- Kontakt zur Meldung von Barrieren
+- Schlichtungsverfahren bei BfArM (https://www.bfarm.de)
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | BFSG-§ |
+|---------------|--------|
+| B2C-Online-Shop | § 1, § 2 |
+| Mikrounternehmen-Ausnahme | § 3 |
+| Erklärung zur Barrierefreiheit | § 12 BITV 2.0 |
+| Bußgeld-Range | § 18 (bis 100.000 €) |
+| WCAG-Konformität | implizit über § 4 + Verordnung BITV 2.0 |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BGB/paragraphs.md

@@ -0,0 +1,112 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/bgb/
+last-checked: 2026-05-01
+purpose: BGB — AGB-Recht (§§ 305–310), Verbraucherschutz (§§ 312–312k), Widerruf (§§ 355–357d), Pauschalreise (§§ 651a–y). Audit-relevant.
+---
+
+# BGB — Audit-relevante Paragraphen
+
+> Volltext: https://www.gesetze-im-internet.de/bgb/
+
+## AGB-Recht (§§ 305–310)
+
+### § 305 — Einbeziehung Allgemeiner Geschäftsbedingungen
+- Abs. 2: AGB werden Vertragsbestandteil nur wenn ausdrücklicher Hinweis + zumutbare Möglichkeit der Kenntnisnahme + Einverständnis
+- Abs. 3: Rahmenvereinbarung möglich (z.B. fortlaufende Geschäftsbeziehung)
+**Audit-Relevanz:** AGB-Akzeptanz im Bestellprozess sichtbar + zumutbar lesbar (nicht nur Footer-Link).
+
+### § 305c — Überraschende und mehrdeutige Klauseln
+Klauseln, mit denen Vertragspartner nicht zu rechnen brauchte → werden NICHT Vertragsbestandteil.
+Mehrdeutige Klauseln gehen zu Lasten des Verwenders.
+**Audit-Relevanz:** AGB-Klausel „Haftung ausgeschlossen für jede Schadensart" → überraschend → unwirksam.
+
+### § 307 — Inhaltskontrolle (Generalklausel)
+- Abs. 1: unangemessene Benachteiligung → unwirksam
+- Abs. 1 S. 2: intransparente Klauseln → unangemessen
+- Abs. 2 Nr. 1: Abweichung von gesetzlichen Grundgedanken
+- Abs. 2 Nr. 2: Aushöhlung des Vertragszwecks
+**Audit-Relevanz:** Generalprüfung jeder AGB-Klausel.
+
+### § 308 — Klauselverbote mit Wertungsmöglichkeit
+- Nr. 1: unangemessene Annahme-/Lieferfristen
+- Nr. 4: einseitige Leistungsänderungs-Vorbehalte (BGH XI ZR 26/20: nur mit Wesentlichkeit-Schwelle)
+- **Nr. 5: Genehmigungsfiktion bei AGB-Änderungen** — strenge Voraussetzungen (BGH XI ZR 26/20)
+
+### § 309 — Klauselverbote ohne Wertungsmöglichkeit
+- Nr. 7 lit. a: Haftungsausschluss bei Vorsatz/grober Fahrlässigkeit + Personenschäden = unwirksam
+- **Nr. 9 lit. b: Verbrauchervertrag mit Laufzeit > 1 Jahr → max. 1 Monat Kündigungsfrist nach Erstlaufzeit** (Faires-Verbraucher-Vertraege-Gesetz 2022)
+
+### § 310 — Anwendungsbereich
+- Abs. 1: § 309 + Klauselverbote nur ggü. Verbraucher (B2C)
+- Abs. 4: gilt nicht für Arbeitsverträge
+
+## Verbraucherschutz (§§ 312–312k)
+
+### § 312 — Anwendungsbereich
+B2C-Verbrauchervertrag bei entgeltlichen Leistungen.
+
+### § 312a — Allgemeine Pflichten + Grundsätze
+- Abs. 2: Vorvertragliche Informationspflicht (Art. 246a EGBGB Anlage)
+- Abs. 3: Buttontext-Pflicht „zahlungspflichtig bestellen" (auch hier verankert)
+- Abs. 4: keine pre-checked-Zusatzleistungen
+
+### § 312g — Widerrufsrecht
+- Abs. 1: bei Fernabsatzverträgen (Art. 312c) und außerhalb Geschäftsräumen
+- Abs. 2: Ausnahmen (Sonderanfertigungen, schnell verderbliche Waren, versiegelte Hygiene-Artikel, etc.)
+
+### § 312i — Allgemeine Pflichten im elektronischen Geschäftsverkehr
+- Abs. 1: technische Mittel zur Erkennung + Korrektur von Eingabefehlern
+
+### § 312j — Besondere Pflichten bei Verbrauchervertraegen im elektronischen Geschäftsverkehr
+- Abs. 1: vor Abgabe der Bestellung Pflicht-Informationen
+- **Abs. 2: konkrete UI-Anforderungen** — wesentliche Merkmale, Gesamtpreis, Laufzeit, Mindestlaufzeit + Kündigung gut sichtbar direkt vor Bestellung
+- **Abs. 3: Button-Lösung „zahlungspflichtig bestellen"** — Pflicht-Wording. Alternativen: „kostenpflichtig bestellen", „kaufen". NICHT akzeptiert: „Anmelden", „weiter", „bestellen", „Auftrag erteilen"
+
+### § 312k — Online-Kündigungsbutton
+- Abs. 1: bei B2C-Dauerschuldverhältnissen über Webseite Pflicht
+- Abs. 2: Button beschriftet mit „Verträge hier kündigen" oder eindeutig vergleichbar
+- Abs. 3: Bestätigungsseite mit Kündigungs-Daten
+- Abs. 4: unverzügliche elektronische Empfangsbestätigung
+**Az.-Anker:** BGH I ZR 161/24 (22.05.2025) zu § 312k.
+
+## Widerrufsrecht (§§ 355–357d)
+
+### § 355 — Widerrufsrecht
+- Abs. 1: 14 Tage ab Vertragsschluss (oder Erhalt Ware)
+- Abs. 2: Frist beginnt nicht ohne Widerrufsbelehrung
+**Audit-Relevanz:** Widerrufsbelehrung muss „deutlich" sein (BGH VIII ZR 70/08). Mustertext aus Anlage 1 zu Art. 246a § 1 Abs. 2 EGBGB.
+
+### § 356 — Widerrufsrecht im Fernabsatz / außerhalb Geschäftsräume
+- Abs. 1: 14 Tage
+- Abs. 3: bei fehlender Belehrung 12 Monate + 14 Tage Höchstfrist
+
+### § 357 — Rechtsfolgen Widerruf
+Rückzahlung binnen 14 Tagen. Hin- und Rücksendekosten.
+
+### § 357a — Bei digitalen Produkten
+Bei Bereitstellung digitaler Inhalte: Widerruf endet wenn Verbraucher zugestimmt hat.
+
+## Pauschalreise (§§ 651a–y)
+
+### § 651a — Pflichten Reiseveranstalter
+Definitionen, Anwendungsbereich.
+
+### § 651k — Sicherungspflicht
+Reise-Sicherungs-Schein vor Anzahlung.
+**Audit-Relevanz:** Reise-Sites brauchen Sicherungs-Schein-Hinweis VOR Bestellung.
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | BGB-§ |
+|---------------|-------|
+| AGB-Klauseln | § 305c, § 307, § 308, § 309, § 310 |
+| AGB Genehmigungsfiktion | § 308 Nr. 5 + BGH XI ZR 26/20 |
+| Mindestlaufzeit B2C | § 309 Nr. 9 lit. b |
+| Vorvertragliche Pflicht-Info | § 312a Abs. 2 + Art. 246a EGBGB |
+| Button-Lösung | § 312j Abs. 3 |
+| Kündigungsbutton | § 312k + BGH I ZR 161/24 |
+| Widerrufsbelehrung | §§ 355, 356, 357 + BGH VIII ZR 70/08 |
+| Pauschalreise | §§ 651a–y |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/DDG/paragraphs.md

@@ -0,0 +1,71 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/ddg/
+last-checked: 2026-05-01
+purpose: DDG (Digitale-Dienste-Gesetz) — vormals TMG seit 14.05.2024. Pflicht-Paragraphen.
+---
+
+# DDG — Audit-relevante Paragraphen
+
+> Digitale-Dienste-Gesetz (DDG). Setzt EU-DSA in deutsches Recht um.
+> Trat am 14.05.2024 in Kraft, ersetzte das TMG.
+> Volltext: https://www.gesetze-im-internet.de/ddg/
+
+## § 5 — Allgemeine Informationspflichten (Impressum)
+
+### Pflicht-Inhalt für jedes Impressum eines geschäftsmäßigen Telemediendienstes:
+- Nr. 1: Name + Anschrift (bei jur. Personen: Vertretungsberechtigter)
+- Nr. 2: Kontaktangaben (E-Mail + ein weiterer Kontaktweg, z.B. Telefon, Kontaktformular, schnelles Antwortmedium)
+- Nr. 3: zuständige Aufsichtsbehörde (sofern erforderlich)
+- Nr. 4: Handelsregister + Registernummer (bei jur. Personen)
+- Nr. 5: Berufsbezeichnung + Staat + Berufsregelungen + Link (bei reglementierten Berufen)
+- Nr. 6: Umsatzsteuer-ID (USt-ID nach § 27a UStG) ODER Wirtschafts-ID (§ 139c AO)
+
+**Audit-Relevanz:**
+- Footer-Link „Impressum" auf jeder Page
+- Anbieter-Block-Identifizierbarkeit (h2 + address)
+- USt-ID-Format (DE + 9 Ziffern)
+- Bei reglementierten Berufen (Anwalt/Arzt/Architekt): Berufsordnung + Kammer-Link Pflicht
+- Nicht genutzte Felder (Handelsregister bei Einzelunternehmer): NICHT auflisten als „n/a", weglassen
+
+## § 6 — Besondere Informationspflichten (kommerzielle Kommunikation)
+- Klare Erkennbarkeit als kommerzielle Kommunikation
+- Klare Erkennbarkeit der Person, in deren Auftrag die Kommunikation erfolgt
+
+**Audit-Relevanz:** Affiliate-Disclaimer (siehe `references/checklisten.md` 3c). Influencer-Posts.
+
+## §§ 7–10 — Haftung der Diensteanbieter
+
+### § 7 — Allgemeine Grundsätze (Verantwortlichkeit für eigene Inhalte)
+Diensteanbieter sind für eigene Informationen nach allgemeinen Gesetzen verantwortlich.
+
+### § 8 — Durchleitung von Informationen (Mere Conduit)
+Keine Verantwortung wenn: nicht initiiert, keine Auswahl Empfänger, keine Auswahl/Veränderung Inhalt.
+
+### § 9 — Zwischenspeicherung (Caching)
+Caching-Privileg.
+
+### § 10 — Speicherung von Informationen (Hosting)
+Host-Provider haftet nicht, wenn:
+- Nr. 1: keine Kenntnis rechtswidriger Information ODER
+- Nr. 2: nach Kenntnis-Erlangung unverzüglich entfernt
+**Audit-Relevanz:** UGC-Plattformen (Forum, Marketplace, Profile) — Notice-and-Action-Endpoint Pflicht (DSA Art. 16 ergänzt).
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | DDG-§ |
+|---------------|-------|
+| Impressum-Pflicht | § 5 |
+| Werbung / Kommerzielle Komm. | § 6 |
+| UGC-Hosting | § 10 + DSA Art. 16 |
+| Footer-Link „Impressum" | § 5 (de-facto Pflicht) |
+
+## Migration-Tabelle (TMG → DDG)
+
+- TMG § 5 → DDG § 5 (inhaltsgleich Impressum)
+- TMG § 7 → DDG § 7 (Haftung Grundsatz)
+- TMG § 10 → DDG § 10 (Hosting-Privileg)
+
+Skill-Output: stets „DDG" zitieren (TMG nur als historischer Hinweis bei alten Az.).

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/DSGVO/articles.md

@@ -0,0 +1,182 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
+last-checked: 2026-05-01
+purpose: Audit-relevante DSGVO-Artikel mit Tenor-Kurzfassung + Audit-Mapping
+---
+
+# DSGVO (VO 2016/679) — Audit-relevante Artikel
+
+> Strukturierter Auszug. Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
+
+## Kapitel I — Allgemeine Bestimmungen
+
+### Art. 4 — Begriffsbestimmungen
+Definiert: personenbezogene Daten (Nr. 1), Verarbeitung (Nr. 2), Verantwortlicher (Nr. 7), Auftragsverarbeiter (Nr. 8), Empfänger (Nr. 9), Dritter (Nr. 10), Einwilligung (Nr. 11), Aufsichtsbehörde (Nr. 21).
+**Audit-Relevanz:** jede DSE-Aussage muss konsistent zu Art. 4 sein. „Wir geben Daten weiter an Dienstleister X" → Auftragsverarbeiter (AVV nach Art. 28 nötig) oder Dritter (eigene Rechtsgrundlage nötig)?
+
+## Kapitel II — Grundsätze (Art. 5–11)
+
+### Art. 5 — Grundsätze für die Verarbeitung
+- Abs. 1 lit. a: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
+- Abs. 1 lit. b: Zweckbindung
+- Abs. 1 lit. c: Datenminimierung
+- Abs. 1 lit. d: Richtigkeit
+- Abs. 1 lit. e: Speicherbegrenzung
+- Abs. 1 lit. f: Integrität und Vertraulichkeit (TOMs)
+- **Abs. 2: Rechenschaftspflicht** — Verantwortlicher muss Compliance NACHWEISEN können
+**Audit-Relevanz:** lit. e triggert Lösch-Cron-Audit (Phase 5i Skill). Abs. 2 triggert VVT-/DSFA-/Audit-Trail-Doku-Pflicht.
+
+### Art. 6 — Rechtmäßigkeit der Verarbeitung
+- Abs. 1 lit. a: Einwilligung
+- Abs. 1 lit. b: Vertragserfüllung
+- Abs. 1 lit. c: rechtliche Verpflichtung
+- Abs. 1 lit. d: lebenswichtige Interessen
+- Abs. 1 lit. e: öffentliche Aufgabe
+- **Abs. 1 lit. f: berechtigtes Interesse** — Drei-Stufen-Test (Interesse + Erforderlichkeit + Abwägung)
+**Audit-Relevanz:** Pflicht-Angabe in DSE Art. 13 lit. c. Bei lit. f: Interessenabwägung dokumentiert? EuGH C-252/21 Meta: Werbung ≠ berechtigtes Interesse.
+
+### Art. 7 — Bedingungen für die Einwilligung
+- Abs. 1: Nachweispflicht der Einwilligung
+- Abs. 2: hervorgehoben + verständlich + von anderen Punkten getrennt
+- Abs. 3: jederzeit widerrufbar (so einfach wie Erteilung)
+- Abs. 4: Kopplungsverbot
+**Audit-Relevanz:** Cookie-Banner-Pflicht (Akzeptieren + Ablehnen gleichwertig). Newsletter-Anmeldung darf nicht an AGB-Akzeptanz gekoppelt sein (Az. BGH I ZR 218/19).
+
+### Art. 8 — Kinder
+Einwilligung Kinder ≥ 16 Jahre wirksam (DE: § 21 BDSG bestätigt). Bei < 16 Jahren: Eltern-Zustimmung nötig.
+**Audit-Relevanz:** EdTech / Social-Plattform / Gaming → Altersgate? Verifikation?
+
+### Art. 9 — Besondere Kategorien (Sondersensible Daten)
+Verbot mit Erlaubnisvorbehalt. Zulässig nur wenn: ausdrückliche Einwilligung (Abs. 2 lit. a), Beschäftigungsrecht (lit. b), öffentliches Interesse (lit. g), Gesundheitsschutz (lit. h), Forschung (lit. j) etc.
+**Audit-Relevanz:** Heilberuf / Telemedizin / Dating-Apps / Pet-Care mit Krankheits-Daten. Trigger DSFA Art. 35.
+
+## Kapitel III — Rechte der betroffenen Person (Art. 12–23)
+
+### Art. 12 — Modalitäten
+- Abs. 1: präzise + transparent + verständlich
+- Abs. 3: 1 Monat Frist (verlängerbar 2 Monate)
+- Abs. 5: i.d.R. unentgeltlich
+
+### Art. 13 — Informationspflicht bei Erhebung
+Pflicht-Inhalte für DSE: Identität Verantwortlicher (lit. a), Kontakt DSB (lit. b), Zwecke + Rechtsgrundlage (lit. c), berechtigte Interessen (lit. d), Empfänger (lit. e), Drittlandtransfer + Schutzgarantien (lit. f), Speicherdauer (Abs. 2 lit. a), Rechte (Abs. 2 lit. b), Widerruf (Abs. 2 lit. c), Beschwerderecht (Abs. 2 lit. d).
+**Audit-Relevanz:** das ist die DSE-Pflicht-Liste — jede DSE muss alle 11 Punkte enthalten.
+
+### Art. 15 — Auskunftsrecht
+Vollständige Kopie aller Daten + Empfänger + Zwecke + Speicherdauer + Rechte (EuGH C-487/21).
+**Audit-Relevanz:** Endpoint `/api/user/access` oder Email-basiertes Verfahren? 1-Monat-Frist.
+
+### Art. 16 — Berichtigung
+**Audit-Relevanz:** UI-Pfad zur Profil-Bearbeitung dokumentiert?
+
+### Art. 17 — Löschung („Recht auf Vergessenwerden")
+- Abs. 1: Lösch-Anspruch wenn Zweck weggefallen, Widerruf, unrechtmäßig, Compliance-Pflicht
+- **Abs. 2: Informations-Pflicht an Empfänger** (Suchmaschinen + AVV) — Az. EuGH C-131/12 Google Spain
+**Audit-Relevanz:** Account-Delete-Endpoint (`/api/user/delete`)? UGC-Plattformen: X-Robots-Tag noindex auf User-PII (siehe Phase 5c skill).
+
+### Art. 18 — Einschränkung
+**Audit-Relevanz:** Endpoint vorhanden? Selten implementiert.
+
+### Art. 19 — Mitteilung an Empfänger
+Bei Berichtigung/Löschung/Einschränkung: alle Empfänger informieren.
+
+### Art. 20 — Datenübertragbarkeit
+Strukturiertes, gängiges, maschinenlesbares Format (JSON/CSV).
+**Audit-Relevanz:** Endpoint `/api/user/export`?
+
+### Art. 21 — Widerspruchsrecht
+- Abs. 1: bei berechtigtem Interesse
+- **Abs. 2: bei Direktwerbung jederzeit + uneingeschränkt** — Pflicht-Hinweis in DSE
+- Abs. 3: nach Widerspruch Direktwerbung darf nicht mehr verarbeitet werden
+
+### Art. 22 — Automatisierte Einzelentscheidung
+Verbot mit Erlaubnisvorbehalt (Abs. 2). Bei Erlaubnis: Recht auf menschliches Eingreifen (Abs. 3).
+**Audit-Relevanz:** AI-Scoring / KI-Empfehlung mit rechtlicher Wirkung → DSFA + Art. 22-Absicherung. Trigger AI-Act Art. 6+50.
+
+## Kapitel IV — Verantwortlicher + Auftragsverarbeiter (Art. 24–43)
+
+### Art. 25 — Privacy by Design + by Default
+**Audit-Relevanz:** Default-Settings analysieren (Newsletter-Opt-In, Profil-Sichtbarkeit, Tracker-Opt-In).
+
+### Art. 28 — Auftragsverarbeiter
+- Abs. 3: AVV-Pflichtinhalt (Gegenstand, Dauer, Art, Zweck, Datenkategorien, Personenkreis, Sub-AVV-Klausel, Weisungsbindung, Vertraulichkeit, TOMs, Mit-Unterstützungspflichten, Lösch-/Rückgabe-Klausel)
+**Audit-Relevanz:** AVV-Liste in DSE muss matchen mit aktiven Diensten (Drift-Style 1).
+
+### Art. 30 — Verzeichnis von Verarbeitungstätigkeiten (VVT)
+Pflicht ≥ 250 MA ODER regelmäßige sensible Verarbeitung. KMU-Privileg Abs. 5.
+**Audit-Relevanz:** Vorlage `references/templates/VVT-template.md`.
+
+### Art. 32 — Sicherheit der Verarbeitung (TOMs)
+Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Wiederherstellung, regelmäßige Tests.
+**Audit-Relevanz:** Pflicht-Inhalt in AVV. Verlinkung mit IT-Sec / NIS2.
+
+### Art. 33 — Datenpannenmeldung an Aufsichtsbehörde
+**72 Stunden ab Kenntnis** (Werktage zählen nicht — kontinuierlich).
+**Audit-Relevanz:** Incident-Response-Plan dokumentiert? Eskalations-Kontakt zu DSB.
+
+### Art. 34 — Benachrichtigung Betroffene
+Bei „hohem Risiko" — unverzüglich (kein 72h-Anker).
+
+### Art. 35 — Datenschutz-Folgenabschätzung (DSFA)
+- Abs. 3: Pflicht-Trigger (Profiling Abs. 3 lit. a, sensible Daten Abs. 3 lit. b umfangreich, öffentliche Räume systematisch lit. c)
+- DSK-Whitelist 2018 + BayLDA-Hinweise
+**Audit-Relevanz:** Vorlage `references/templates/DSFA-template.md`. KMU sind NICHT befreit.
+
+### Art. 37 — Benennung DSB
+Pflicht bei: Behörde, Kerntätigkeit umfangreiche systematische Überwachung, Kerntätigkeit besondere Kategorien Art. 9. Deutsches Recht erweitert (§ 38 BDSG).
+
+## Kapitel V — Drittland (Art. 44–50)
+
+### Art. 44 — Allgemeiner Grundsatz
+Drittlandtransfer nur mit Garantien Art. 45–47.
+
+### Art. 45 — Adequacy-Beschluss
+Liste: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
+Stand 2026: UK, Schweiz, Israel, Argentinien, Kanada, Andorra, Färöer, Guernsey, Isle of Man, Jersey, Neuseeland, Uruguay, Japan, Südkorea, EU-US DPF (seit 10.07.2023, noyb-Klage anhängig).
+
+### Art. 46 — Standardvertragsklauseln (SCC)
+Module 1–4 (Controller-Controller, Controller-Processor, Processor-Processor, Processor-Controller). Aktuelle SCC: VO 2021/914 (seit 27.06.2021).
+
+### Art. 47 — Binding Corporate Rules (BCR)
+Konzern-interne Regeln, von Aufsichtsbehörde genehmigt.
+
+### Art. 49 — Ausnahmen
+Nur restriktiv (EDPB Guidelines 2/2018). Einwilligung mit Risiko-Hinweis (Abs. 1 lit. a) — nicht für regelmäßige Transfers.
+
+## Kapitel VIII — Rechtsbehelfe + Sanktionen (Art. 77–84)
+
+### Art. 77 — Beschwerderecht bei Aufsichtsbehörde
+**Audit-Relevanz:** Pflicht-Hinweis in DSE.
+
+### Art. 79 — Klage gegen Verantwortlichen
+**Audit-Relevanz:** Gerichtsstandsklausel bei B2C in AGB beachten (Verbraucher-AGB-Recht § 38 ZPO).
+
+### Art. 82 — Schadensersatz
+- Abs. 1: materieller + immaterieller Schaden
+- Abs. 3: Beweislast Verantwortlicher (Beweislastumkehr für TOMs)
+**Az.-Anker:** EuGH C-300/21 (keine Erheblichkeitsschwelle), C-340/21 (Befürchtung Missbrauch reicht), BGH VI ZR 1370/20 (Kontrollverlust).
+
+### Art. 83 — Geldbußen
+- Stufe 1 (bis 10 Mio. €  oder 2% Umsatz): Art. 8, 11, 25–39, 42, 43
+- **Stufe 2 (bis 20 Mio. €  oder 4% Umsatz)**: Art. 5, 6, 7, 9, 12–22, 44–49, 58
+**Audit-Relevanz:** für €-Range im Skill-Output.
+
+---
+
+## Audit-Mapping-Index (für Skill-Auto-Loading)
+
+| Audit-Surface | Pflicht-Artikel |
+|---------------|-----------------|
+| DSE-Inhalte | 13, 14, 12 (Modalität) |
+| Cookie-Banner | 6 lit. a, 7 |
+| Auskunftsanfrage | 15, 12 (1 Monat) |
+| Account-Delete-Endpoint | 17 |
+| Datenexport-Endpoint | 20 |
+| Newsletter-Anmeldung | 6 lit. a, 7, 21 Abs. 2, 13 |
+| AVV-Listung | 28 (Abs. 3 Pflichtinhalt) |
+| Drittland-Hinweis | 44, 45, 46, 49, 13 lit. f |
+| Datenpanne | 33 (72h), 34 |
+| KI-Component | 22, 35 |
+| TOMs-Doku | 32, 5 Abs. 1 lit. f |
+| Sondersensible Daten | 9, 35 |
+| VVT | 30 (KMU-Privileg Abs. 5) |