@aegis-scan/skills 0.4.0 → 0.5.0

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/articles.md

@@ -0,0 +1,108 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+last-checked: 2026-05-01
+purpose: EU AI Act (VO 2024/1689) — Audit-relevante Artikel für Web/SaaS mit KI-Komponente.
+---
+
+# EU AI Act (VO 2024/1689) — Audit-relevante Artikel
+
+> In Kraft seit 01.08.2024. Anwendbarkeit gestaffelt:
+> - Verbotene Praktiken (Art. 5): seit **02.02.2025** anwendbar
+> - General-Purpose-AI (GPAI): seit **02.08.2025**
+> - Hochrisiko-Systeme: ab **02.08.2026**
+> - Volle Anwendung: ab **02.08.2027**
+
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+
+## Art. 3 — Begriffsbestimmungen
+
+KI-System (Nr. 1): „maschinenbasiertes System, autonom betreibbar, anpassungsfähig, generiert Outputs (Vorhersagen, Inhalte, Empfehlungen, Entscheidungen) aus Eingaben, beeinflusst physische oder virtuelle Umgebungen"
+
+**Audit-Relevanz:** alles was LLM-API ruft (OpenAI, Anthropic, Mistral) ist KI-System.
+
+## Art. 5 — Verbotene KI-Praktiken (in Kraft 02.02.2025)
+
+Verboten:
+- Subliminal-Manipulation
+- Vulnerability-Exploitation (Kinder, Behinderung, soziale Lage)
+- Social Scoring
+- Predictive Policing (rein KI-basiert)
+- Untargeted Face-Image-Scraping (Clearview-Pattern)
+- Emotion-Recognition am Arbeitsplatz und in Bildung
+- Biometrische Kategorisierung nach sensiblen Merkmalen
+- Real-time Remote Biometric Identification in öffentlich zugänglichen Räumen (Ausnahmen für Strafverfolgung)
+
+**Audit-Relevanz:** Web/SaaS-Audit prüft, dass keine dieser Praktiken implementiert ist.
+
+## Art. 6 — Hochrisiko-KI-Systeme
+
+Annex I (KI in regulierter Produkt-Kategorie) + Annex III (Hochrisiko-Use-Cases):
+- Annex III Nr. 1: Biometrische Identifizierung
+- Annex III Nr. 2: Kritische Infrastruktur
+- Annex III Nr. 3: Bildung + Berufsausbildung (z.B. Bewerber-Bewertung)
+- **Annex III Nr. 4: Beschäftigung + Personalverwaltung** (Recruiting-AI, Performance-AI)
+- Annex III Nr. 5: Zugang zu wesentlichen privaten/öffentlichen Diensten (Credit-Scoring, Sozialleistungen)
+- Annex III Nr. 6: Strafverfolgung
+- Annex III Nr. 7: Migration + Grenzkontrolle
+- Annex III Nr. 8: Justiz + demokratische Prozesse
+
+**Audit-Relevanz:** wenn ein SaaS einen dieser Use-Cases macht → Pflichten nach Art. 8–15:
+- Risikomanagement-System (Art. 9)
+- Daten-Governance (Art. 10)
+- Technische Doku (Art. 11)
+- Logging (Art. 12)
+- Transparenz + Information (Art. 13)
+- Menschliche Aufsicht (Art. 14)
+- Genauigkeit + Cybersecurity (Art. 15)
+
+## Art. 27 — Grundrechte-Folgenabschätzung (FRIA)
+
+Pflicht bei Hochrisiko-KI: vor Inbetriebnahme Folgenabschätzung der Grundrechte.
+
+**Audit-Relevanz:** ähnlich DSFA, aber für Grundrechte (nicht nur Datenschutz). Für AI-Driven HR-Tools / Credit-Scoring Pflicht.
+
+## Art. 50 — Transparenz-Pflichten für bestimmte KI-Systeme (in Kraft 02.08.2026)
+
+- Abs. 1: KI-Systeme die mit natürlichen Personen interagieren MÜSSEN diese darüber informieren, dass sie mit KI interagieren
+- Abs. 2: Synthetic Audio/Image/Video/Text MÜSSEN als „künstlich erzeugt" gekennzeichnet werden (Wasserzeichen / Metadata)
+- Abs. 3: Emotion-Recognition + biometrische Kategorisierung — Information der betroffenen Person
+- Abs. 4: Deep Fakes — kennzeichnungspflichtig
+- Abs. 5: KI-generierte Texte zu Themen öffentlichen Interesses — Pflicht-Hinweis (außer für redaktionelle Kontrolle, Satire, etc.)
+
+**Audit-Relevanz für JEDES SaaS mit Chatbot oder LLM-Komponente:**
+- Sichtbarer KI-Hinweis im Chat-UI (nicht nur in DSE)
+- Disclaimer bei medizin-/jurist-/finanz-relevanten Antworten („ersetzt keine fachliche Beratung")
+- Bei AI-generated Bildern/Videos: Wasserzeichen oder explizite Kennzeichnung
+- Pet-Care AI / Health-Adjacent: Disclaimer „ersetzt keine tier-/ärztliche Beratung"
+
+## Art. 53–55 — General-Purpose-AI (GPAI) Modelle
+
+GPAI-Anbieter (z.B. OpenAI, Anthropic, Mistral) haben spezielle Pflichten:
+- Technische Doku
+- Transparenz für Downstream-Anwender
+- Copyright-Compliance (Art. 53 Abs. 1 lit. c)
+- Bei System-Risk-Modellen (>10^25 FLOPs): zusätzliche Anforderungen (Art. 55)
+
+**Audit-Relevanz für Web/SaaS:** Auswahl LLM-Provider — DPA des Anbieters muss EU-AI-Act-konform sein. Anthropic + Mistral haben eigene Compliance-Doku.
+
+## Art. 99 — Sanktionen
+
+- bis 35 Mio. € oder 7% globaler Jahresumsatz: bei Verstößen gegen Art. 5 (verbotene Praktiken)
+- bis 15 Mio. € oder 3%: andere Verstöße
+- bis 7,5 Mio. € oder 1,5%: falsche Auskünfte
+
+---
+
+## Audit-Mapping (Web/SaaS-Skill-Auto-Loading)
+
+| Audit-Surface | AI-Act-Art. |
+|---------------|-------------|
+| Chatbot mit User-Interaktion | Art. 50 Abs. 1 |
+| AI-generated Content | Art. 50 Abs. 2/4/5 |
+| HR-AI / Bewerber-Screening | Annex III Nr. 4 + Art. 6 |
+| Kreditwürdigkeits-AI | Annex III Nr. 5 + Art. 6 |
+| Bildungs-AI / Coaching-Bewertung | Annex III Nr. 3 + Art. 6 |
+| Health-Adjacent AI | je nach Use-Case + Art. 50 |
+| LLM-Provider-Auswahl | Art. 53–55 (Provider-Pflichten) |
+| Verbotene KI | Art. 5 (sofort prüfen) |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DSA-2022-2065/articles.md

@@ -0,0 +1,131 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+last-checked: 2026-05-01
+purpose: Digital Services Act (VO 2022/2065) — Pflichten für Online-Plattformen + UGC-Hosting.
+---
+
+# DSA (VO 2022/2065) — Audit-relevante Artikel
+
+> In Kraft seit 17.02.2024 für alle Plattformen.
+> VLOPs (Very Large Online Platforms) > 45 Mio. EU-User: schon seit 25.08.2023.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+> DE-Umsetzung: DDG (Digitale-Dienste-Gesetz, seit 14.05.2024)
+
+## Anwendungsbereich
+
+DSA gilt gestaffelt:
+- Vermittlungsdienste (Mere Conduit, Caching, Hosting): alle, Art. 6–18
+- **Hosting-Provider** (zusätzlich): Art. 16 (Notice-and-Action)
+- **Online-Plattformen**: zusätzlich Art. 19–28 (Marketplace, Social Media, ...)
+- **VLOPs (>45 Mio. User)**: zusätzlich Art. 33–43 (Risk Assessment)
+- **VLOSEs (Very Large Online Search Engines)**: analog VLOPs
+
+**Audit-Relevanz:** kleine UGC-Sites (Forum, Marketplace) sind „Online-Plattform" wenn nicht „klein" nach Art. 19 (KMU-Privileg < 50 MA + < 10 Mio. € Umsatz).
+
+## Art. 14 — Allgemeine AGB-Pflichten für Vermittlungsdienste
+
+Vermittlungsdienste müssen in AGB:
+- Inhaltsmoderations-Kriterien transparent machen
+- Algorithmen-Beschreibung (für Online-Plattformen + VLOPs)
+- klare + verständliche Sprache
+
+## Art. 16 — Notice-and-Action-Mechanismen
+
+**Pflicht für JEDEN Hosting-Provider (auch klein):**
+- Leicht zugänglicher elektronischer Mechanismus zur Meldung rechtswidriger Inhalte
+- Pflicht-Felder: Begründung, hinreichend präzise URL, Erklärung des Meldenden, Name + E-Mail
+
+**Audit-Relevanz:**
+- UGC-Plattform → `/api/<board>/<id>/report`-Endpoint Pflicht
+- Bestätigung an Meldenden
+- Begründete Entscheidung an Inhaltsanbieter (Art. 17)
+- Statement of Reasons öffentlich machen (Art. 17 Abs. 5 → DSA-Datenbank)
+
+## Art. 17 — Begründung (Statement of Reasons)
+
+Bei Inhaltsentfernung / Sichtbarkeits-Reduktion / Account-Sperre:
+- Pflicht: präzise Begründung an Betroffenen
+- VLOPs: Statement of Reasons öffentlich in EU-DSA-Database
+
+## Art. 18 — Meldung Strafverdacht
+Bei Verdacht auf schwere Straftat: unverzüglich Behörden melden.
+
+## Art. 20 — Internes Beschwerdemanagement-System (für Online-Plattformen)
+
+Plattformen brauchen internes Verfahren für Beschwerden gegen Moderation-Entscheidungen.
+
+## Art. 21 — Außergerichtliche Streitbeilegung
+
+User können nach Art. 21 außergerichtliche Streitbeilegungsstelle anrufen.
+
+## Art. 22 — Trusted Flaggers
+Bestimmte Organisationen erhalten priorisierte Notice-Bearbeitung.
+
+## Art. 24 — Transparenzberichte (für Online-Plattformen)
+
+Jährlicher Bericht über:
+- Notice-and-Action Volumen
+- Eigene Inhaltsmoderation
+- Beschwerden + Entscheidungen
+- Mediante Algorithmen
+
+## Art. 25 — Dark Patterns verboten
+
+Plattformen dürfen UI nicht so gestalten dass Nutzer manipuliert werden in:
+- Auswahl-Entscheidungen
+- Konsens-Entscheidungen
+- Default-Settings die zum Nachteil sind
+
+**Audit-Relevanz:** Cookie-Banner-UX (gleichwertige Buttons), Subscription-Cancel (Verfügbarkeit „Cancel"-Pfad), Confirmshaming.
+
+## Art. 26 — Werbung-Transparenz
+
+Werbung in Online-Plattformen:
+- klar als Werbung erkennbar
+- Werbender identifiziert
+- Information wer „bezahlt hat"
+- Hauptparameter der Personalisierung
+
+## Art. 27 — Empfehlungssysteme
+
+Online-Plattformen müssen Empfehlungs-Algorithmen erklären (mind. eine Option ohne Profiling).
+
+## Art. 28 — Kinderschutz
+
+Werbung an Minderjährige basierend auf Profiling **verboten**.
+
+## Art. 30 — Marktplatz-Pflichten
+
+Marketplace-Plattformen müssen Trader-Verifikation:
+- Name, Anschrift, Telefon, E-Mail
+- USt-ID
+- Selbstzertifizierung (nur eigene Produkte)
+- Gewerbliche / private Trader unterscheiden
+
+**Audit-Relevanz:** Marketplace-Sites (Kleinanzeigen, Pet-Marketplace) müssen Trader-Onboarding mit KYC implementieren.
+
+## Art. 33 — Sehr große Online-Plattformen (VLOPs)
+> 45 Mio. EU-monatliche-Nutzer. Zusätzliche Pflichten Art. 34–43 (Risk Assessment, Audit, Krise-Response).
+
+## Art. 52 — Sanktionen
+
+DE-Umsetzung in DDG §§ 18–22:
+- bis 6% globaler Jahresumsatz für VLOPs (Art. 52 DSA)
+- KMU-Plattformen: bis 50.000 € pro Verstoß
+
+---
+
+## Audit-Mapping (Skill-Auto-Loading)
+
+| Audit-Surface | DSA-Art. |
+|---------------|----------|
+| UGC-Plattform | Art. 16 (Notice-and-Action) |
+| Marketplace | Art. 30 (Trader-Verifikation) |
+| Cookie-Banner-UX (Dark-Pattern) | Art. 25 |
+| Subscription-Cancel-UX | Art. 25 |
+| Werbe-Kennzeichnung | Art. 26 |
+| Kinder-Targeting | Art. 28 |
+| AGB Inhaltsmoderation | Art. 14 |
+| Empfehlungs-Algorithmus | Art. 27 |
+| Beschwerdemanagement | Art. 20 |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/HGB-AO/paragraphs.md

@@ -0,0 +1,61 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+sources:
+  - https://www.gesetze-im-internet.de/hgb/__257.html
+  - https://www.gesetze-im-internet.de/ao_1977/__147.html
+last-checked: 2026-05-01
+purpose: GoBD-/AO-Aufbewahrungsfristen — Konflikt mit DSGVO Art. 17 Lösch-Anspruch.
+---
+
+# HGB § 257 + AO § 147 — Aufbewahrungsfristen
+
+## HGB § 257 — Aufbewahrung Handelsgeschäftsbriefe + Buchführung
+
+| Unterlage | Frist |
+|-----------|-------|
+| Handelsbriefe (E-Mails, Bestellbestätigungen, Verträge) | **6 Jahre** (HGB § 257 Abs. 4) |
+| Buchungsbelege, Bilanzen, Inventare | **10 Jahre** (HGB § 257 Abs. 4) |
+| Empfangene Handelsbriefe | 6 Jahre |
+| Wiedergaben abgesandter Handelsbriefe | 6 Jahre |
+
+Beginn: Schluss des Kalenderjahrs der letzten Eintragung / Erstellung.
+
+## AO § 147 — Steuerrechtliche Aufbewahrung
+
+| Unterlage | Frist |
+|-----------|-------|
+| Bücher, Aufzeichnungen, Buchungsbelege, Bilanzen, Jahresabschluss | **10 Jahre** |
+| Empfangene Geschäftsbriefe / Wiedergaben abgesandter Geschäftsbriefe | **6 Jahre** |
+| Sonstige Unterlagen relevant für Besteuerung | 6 Jahre |
+
+Beginn: Schluss des Kalenderjahrs der letzten Eintragung / Erstellung (analog HGB).
+
+## Konflikt-Auflösung mit DSGVO Art. 17
+
+DSGVO Art. 17 Abs. 3 lit. b: Lösch-Anspruch gilt NICHT bei rechtlicher Verpflichtung zur Aufbewahrung.
+
+**Lösung:** Statt Löschung → **Einschränkung der Verarbeitung** (Art. 18 DSGVO + § 35 BDSG):
+1. Daten markieren als „nur für Aufbewahrung" / „Buchhaltungs-Archiv"
+2. Zugriff einschränken auf Buchhaltung / Compliance
+3. Kein operativer Zugriff (CRM, Marketing)
+
+**Audit-Relevanz:**
+- Lösch-Cron darf Rechnungen + Zahlungs-Belege NICHT vor Frist-Ablauf löschen
+- DSE-Aussage zur Speicherdauer muss korrekt zwischen „operative" und „archivarische" Aufbewahrung trennen
+- GoBD-Konformität (Unveränderlichkeit, Nachvollziehbarkeit, Verfügbarkeit)
+
+## GoBD — Grundsätze ordnungsmäßiger Buchführung in elektronischer Form
+
+BMF-Schreiben vom 28.11.2019 (GoBD), Source: https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.html
+
+Kern-Anforderungen:
+- Vollständigkeit + Richtigkeit
+- Zeitgerechte Buchung (Trennung in „aktuelle Periode" und „Archiv")
+- Ordnung + Nachvollziehbarkeit
+- **Unveränderlichkeit** — keine nachträgliche Änderung der gebuchten Daten ohne Audit-Trail
+- Aufbewahrung der maschinellen Auswertbarkeit
+
+**Audit-Relevanz:**
+- Database-Schema mit `created_at` / `modified_at` + Audit-Trail-Tabelle
+- Soft-Delete + Versionierung statt Hard-Delete für Buchhaltungs-Daten
+- Backup + Disaster-Recovery dokumentiert

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/INDEX.md

@@ -0,0 +1,93 @@
+---
+status: skeleton
+purpose: Strukturierte Pflicht-§-Auszuege pro Gesetz. Volltext NICHT kopieren — Tenor-Kurzfassungen + Audit-Relevance-Mapping.
+maintainer-note: Diese Datei ist der Entry-Point fuer Phase 2 Maxout. Bitte beim Befuellen Provenance-Disziplin (SKILL.md §5) wahren.
+---
+
+# `references/gesetze/` — Skeleton + Befuell-Plan
+
+> Status: **skeleton**. Ziel: pro Gesetz ein File mit den fuer Web/SaaS-Audit
+> relevanten §§. KEIN Volltext — strukturierte Tenor-Auszuege + Anwendungs-Mapping.
+>
+> **Source-Pflicht analog SKILL.md §5**: jeder Eintrag braucht eine
+> Source-URL. Primaerquelle: `gesetze-im-internet.de` (BMJ, gemeinfrei
+> per § 5 UrhG) bzw. `eur-lex.europa.eu` (CC BY 4.0 Attribution).
+
+## Befuell-Reihenfolge (priorisiert nach Audit-Frequenz)
+
+### Tier 1 — Pflicht fuer JEDES Audit (befuellen zuerst)
+- [ ] `DSGVO/articles.md` — alle 99 Artikel mit 1-Satz-Tenor, audit-relevance-Mapping
+- [ ] `DSGVO/recitals.md` — die ~30 Erwaegungsgruende, die in Bgh-/EuGH-Urteilen wiederkehrend zitiert werden (1, 4, 26, 32, 33, 39, 47, 49, 71, 75, 80, 85, 87, 91, 146, 158, 173)
+- [ ] `BDSG/paragraphs.md` — §§ 1-85, Fokus auf §§ 1-7 (Begriff), 26 (Beschaeftigtendaten), 27 (wissenschaftliche Forschung), 38 (Datenschutzbeauftragter), 41 (Bussgeld)
+- [ ] `TDDDG/paragraphs.md` — §§ 1-31, **Fokus § 25** (Cookies / Telemediendienste-Endgeraet-Zugriff)
+- [ ] `DDG/paragraphs.md` — vormals TMG seit 14.03.2024, Fokus § 5 (Impressum), §§ 7-10 (Haftung)
+- [ ] `BGB/paragraphs.md` — §§ 305-310 (AGB), §§ 312-312k (Verbraucherschutz), § 355 (Widerruf), §§ 357-357d (Widerrufsfolgen), §§ 651a-y (Pauschalreise), §§ 666 ff. (Auftrag, B2B-Service)
+- [ ] `UWG/paragraphs.md` — §§ 3, 3a, 5, 5a, 6, 7, 8, 13 — Hauptabmahn-Vehikel im Web
+
+### Tier 2 — Branchen-/Kontext-spezifisch (nach Tier 1)
+- [ ] `HGB-AO/paragraphs.md` — HGB § 257 (6/10-Jahre-Aufbewahrung), AO § 147 (10-Jahre)
+- [ ] `VSBG/paragraphs.md` — § 36 (Verbraucherschlichtung-Hinweis-Pflicht), § 17
+- [ ] `EU-Verordnungen/DSA-2022-2065/articles.md` — 93 Artikel, Fokus Art. 14 (Notice-and-Action), 16 (Notice-Endpoint), 22 (Out-of-court-Dispute), 24 (Transparency), 26-28 (Werbung)
+- [ ] `EU-Verordnungen/AI-Act-2024-1689/articles.md` — 113 Artikel, Fokus Art. 5 (Verbotene KI), 6-15 (Hochrisiko), 50 (Transparenz/KI-Hinweis), 99 (Sanktionen)
+- [ ] `BFSG/paragraphs.md` — Pflicht seit 28.06.2025 fuer B2C-Online
+- [ ] `HinSchG/paragraphs.md` — Hinweisgeberschutz-Gesetz (B2B mit > 50 MA)
+- [ ] `NIS2UmsuCG-BSIG/paragraphs.md` — sobald in Kraft (deutsche NIS2-Umsetzung)
+- [ ] `StGB/relevante-paragraphen.md` — §§ 202a-d (Datenausspaehung), 263a (Computerbetrug), 269 (Faelschung beweiserheblicher Daten)
+
+### Tier 3 — Branchen-Spezifisch (on-demand)
+- [ ] `EU-Verordnungen/DMA-2022-1925/articles.md` — fuer Plattformen ueber Schwellwert
+- [ ] `EU-Verordnungen/ODR-524-2013/articles.md` — Art. 14 ODR-Link-Pflicht
+- [ ] `EU-Verordnungen/eIDAS-910-2014/articles.md` — Trust-Services, qualifizierte Signaturen
+- [ ] `KritisDachG/paragraphs.md` — KRITIS (KRITIS-Sektoren)
+- [ ] `HWG-LMIV-HOAI-BORA-MPDG-GlueStV-JuSchG-FernUSG/audit-relevance.md` — Branchen-Kompendium
+- [ ] `IHK-DSK-EDSA-Guidelines/stellungnahmen.md` — wichtige Aufsichtsbehoerden-Stellungnahmen
+
+## Format pro File (Vorlage)
+
+```markdown
+---
+license: gemeinfrei nach § 5 UrhG (DE) / CC BY 4.0 (EU-Verordnungen)
+source: <primary-URL>
+last-checked: <YYYY-MM-DD>
+---
+
+# <Gesetz / Verordnung> — Audit-relevante Paragraphen / Artikel
+
+> Strukturierter Auszug fuer brutaler-anwalt-Audits.
+> Volltext: <primary-URL>
+
+## § / Art. <Nr.> — <Kurz-Bezeichnung>
+
+**Tenor (1-2 Saetze):** <Inhalt>
+
+**Audit-Relevanz:**
+- Auf welcher Audit-Surface tritt dies auf? (Site, Code, Doku, AGB, DSE)
+- Welche Findings im Skill triggern dies?
+- Welche Az.-Belege sind verknuepft? (Cross-Ref zu bgh-urteile.md)
+
+**Fix-Pattern (wenn anwendbar):** <Verweis auf templates/>
+
+**Source:** <URL zur Primaerquelle>
+```
+
+## Quellen-Liste
+
+### Primaer (DE)
+- https://www.gesetze-im-internet.de/ — BMJ, Pflicht-Quelle DE-Gesetze
+- https://juris.bundesgerichtshof.de/ — BGH-Entscheidungen-DB
+
+### Primaer (EU)
+- https://eur-lex.europa.eu/ — alle EU-Verordnungen + Richtlinien
+- https://curia.europa.eu/ — EuGH-Entscheidungen
+
+### Sekundaer (akzeptabel mit `[secondary-source-verified]`-Tag)
+- https://dejure.org/, https://openjur.de/, https://rewis.io/
+- https://www.bird-bird.com/, https://www.noerr.com/ (Anwalts-Blogs)
+- https://www.edpb.europa.eu/ (EDPB-Guidelines)
+
+## NICHT-Inhalt dieser Files
+
+- KEIN kompletter Gesetzes-Volltext (Token-Effizient-Regel)
+- KEINE Erwaegungs-Diskussion (das ist Aufgabe von Anwalts-Texten)
+- KEINE Az.-Sammlung (gehoert in `bgh-urteile.md`)
+- KEINE Branchen-spezifischen Pflicht-Klauseln (gehoert in `branchenrecht.md`)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/TDDDG/paragraphs.md

@@ -0,0 +1,67 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/tdddg/
+last-checked: 2026-05-01
+purpose: TDDDG (vormals TTDSG) — relevante Paragraphen mit Audit-Mapping. Gilt seit 14.05.2024 (vorher TTDSG seit 01.12.2021).
+---
+
+# TDDDG — Audit-relevante Paragraphen
+
+> Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
+> Vormals TTDSG, umbenannt zum 14.05.2024 (DSA-Anpassungsgesetz).
+> Volltext: https://www.gesetze-im-internet.de/tdddg/
+
+## § 25 — Schutz der Privatsphäre bei Endeinrichtungen (Cookies)
+
+### Abs. 1 — Einwilligungspflicht
+Speichern oder Auslesen von Informationen in der Endeinrichtung des Endnutzers darf NUR mit:
+- Einwilligung des Endnutzers (Art. 4 Nr. 11 + Art. 7 DSGVO)
+- nach klarer und umfassender Information
+
+### Abs. 2 — Einwilligungs-Ausnahmen
+Keine Einwilligung erforderlich wenn:
+- Nr. 1: alleiniger Zweck = Übertragung einer Nachricht
+- Nr. 2: unbedingt erforderlich, um Telemediendienst auf ausdrücklichen Wunsch des Nutzers zu erbringen
+
+### Abs. 3 — Definitionen
+„Endeinrichtung" = Endgerät (Browser, App).
+
+**Audit-Relevanz:**
+- Cookie-Banner Pflicht-Trigger
+- Pre-checked-Boxen unzulässig (EuGH C-673/17 Planet49 + BGH I ZR 7/16)
+- Reject-All gleichwertig zu Accept-All (EDPB Guidelines 03/2022)
+- LocalStorage / SessionStorage / IndexedDB / Service-Worker-Cache fallen ebenfalls unter Abs. 1 (sind „Speichern in Endeinrichtung")
+- Pixel-Tracker / Browser-Fingerprinting → ebenfalls Abs. 1 (Auslesen)
+- Funktionale Cookies (Login-Session, Warenkorb, Sprachwahl): Abs. 2 Nr. 2 — keine Einwilligung
+- Session-Recording / A/B-Testing: KEIN Abs.-2-Nr.-2-Fall → Einwilligung nötig
+
+## § 26 — Anerkannte Einwilligungs-Verwaltungsdienste (PIMS)
+
+Möglichkeit für „universelle" Cookie-Einwilligungs-Verwaltung. In Praxis 2026 noch nicht aktiv genutzt — Stand der Verordnungsentwicklung beobachten.
+
+## §§ 1–3 — Anwendungsbereich
+
+§ 1 + § 2: gilt für Telemedien (= Webseiten, Apps, SaaS) — alle digitalen Dienste außer reine Telekommunikation.
+§ 3: Begriffsbestimmungen.
+
+---
+
+## Audit-Mapping (Skill-Auto-Loading)
+
+| Audit-Surface | TDDDG-§ |
+|---------------|--------|
+| Cookie-Banner | § 25 Abs. 1 |
+| LocalStorage-Tracking | § 25 Abs. 1 |
+| Funktionale Cookies (Session) | § 25 Abs. 2 Nr. 2 |
+| Pre-Tick-Boxen | § 25 Abs. 1 + EuGH C-673/17 |
+| Reject-All-Button | § 25 Abs. 1 + EDPB Guidelines 03/2022 |
+| Browser-Fingerprinting | § 25 Abs. 1 |
+| Server-Side-Tracking | § 25 Abs. 1 (wenn Trigger im Browser) |
+
+## Migration-Tabelle (TTDSG → TDDDG)
+
+Inhalt identisch, nur umbenannt zum 14.05.2024.
+- TTDSG § 25 → TDDDG § 25 (Cookies)
+- TTDSG § 24 → TDDDG § 24 (Inhaltsdaten)
+
+Skill-Output: stets „TDDDG" zitieren (TTDSG nur als historischer Hinweis bei alten Az.).

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/UWG/paragraphs.md

@@ -0,0 +1,117 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/uwg_2004/
+last-checked: 2026-05-01
+purpose: UWG — Hauptabmahn-Vehikel im Web (§ 3a Rechtsbruch, § 5/5a Irreführung, § 7 Cold-Outreach, § 8 Anspruchsberechtigte, § 13 Abmahnung).
+---
+
+# UWG — Audit-relevante Paragraphen
+
+> Gesetz gegen den unlauteren Wettbewerb (UWG).
+> Volltext: https://www.gesetze-im-internet.de/uwg_2004/
+
+## § 3 — Verbot unlauterer geschäftlicher Handlungen
+
+Generalnorm. Konkret in §§ 3a–7.
+
+## § 3a — Rechtsbruch (Marktverhaltensregelungen)
+
+> Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.
+
+**Audit-Relevanz:** das ist der MEISTGENUTZTE Hebel für DSGVO-/TDDDG-/DDG-Verstöße. Konkurrenten können DSGVO-Verstöße über UWG § 3a abmahnen (BGH I ZR 7/16 bestätigt; auch nach EuGH C-372/19 sind Marktverhaltensregelungen abmahnbar).
+
+Abmahnfähige Marktverhaltensregelungen:
+- DSGVO Art. 13 (DSE-Pflicht)
+- TDDDG § 25 (Cookie-Banner)
+- DDG § 5 (Impressum)
+- BGB § 312j (Button-Lösung)
+- BGB § 312k (Kündigungsbutton)
+- VSBG § 36 (Streitbeilegung-Hinweis)
+- UWG § 5a Abs. 4 (Werbe-Kennzeichnung)
+- BFSG (B2C-Barrierefreiheit, ab 28.06.2025)
+
+## § 5 — Irreführende geschäftliche Handlungen
+
+- Abs. 1: Unwahre oder zur Täuschung geeignete Angabe über wesentliche Merkmale
+- Abs. 2: Verwirrungsgefahr (Verwechselung)
+
+**Audit-Relevanz:**
+- Werbeaussagen (Health-Claims bei Lebensmitteln, „beste App", „Marktführer")
+- Bewertungs-Cherry-Picking
+- Influencer ohne Werbe-Kennzeichnung
+
+## § 5a — Irreführung durch Unterlassen
+
+- Abs. 1: wesentliche Information vorenthalten
+- **Abs. 4: bei kommerzieller Kommunikation den kommerziellen Zweck NICHT kenntlich machen**
+
+**Audit-Relevanz:**
+- Affiliate-Links ohne Werbehinweis
+- Influencer-Posts ohne „Werbung" / „Anzeige"
+- Sponsored Content ohne Kennzeichnung
+- Paid Reviews
+**Az.-Anker:** LG München I 4 HK O 14302/15 (Brand Ambassador), BGH I ZR 90/20.
+
+## § 6 — Vergleichende Werbung
+Zulässig nur unter strengen Voraussetzungen (objektiv, nachprüfbar, keine Herabsetzung).
+
+## § 7 — Unzumutbare Belästigung (Cold-Outreach)
+
+- Abs. 1: unzumutbare Belästigung verboten
+- **Abs. 2 Nr. 2: Werbung mit Telefonanruf nur mit ausdrücklicher Einwilligung (B2C) bzw. mutmaßlicher Einwilligung (B2B)**
+- **Abs. 2 Nr. 3: Werbung per E-Mail nur mit ausdrücklicher Einwilligung (Double-Opt-In)**
+- Abs. 3: Bestandskunden-Privileg für E-Mail-Werbung enge Voraussetzungen
+
+**Audit-Relevanz:**
+- Newsletter-Anmeldung mit Double-Opt-In Pflicht
+- Cold-E-Mail-B2B verlangt mutmaßliches Interesse — eng auszulegen
+- Bestandskunden-Werbung per E-Mail nur mit Widerruf-Hinweis bei jeder E-Mail
+**Az.-Anker:** BGH I ZR 218/19 (Werbeeinwilligung Bestandskunden), BGH I ZR 218/07.
+
+## § 8 — Beseitigung + Unterlassung
+
+- Abs. 1: Anspruchsinhalt
+- Abs. 3: Anspruchsberechtigte:
+  - Nr. 1: Mitbewerber (sofern wirtschaftlich tatsächlich tätig)
+  - Nr. 2: qualifizierte Wirtschaftsverbände (Wettbewerbszentrale, IHK)
+  - Nr. 3: qualifizierte Verbraucherverbände (vzbv)
+  - Nr. 4: IHK / Handwerkskammer
+
+**Audit-Relevanz:** das definiert WHO darf abmahnen.
+
+## § 8b — Missbrauchsverbot
+Abmahnung darf nicht missbräuchlich sein. Indizien Abs. 2:
+- Mitbewerber außerhalb gewöhnlicher Geschäftstätigkeit
+- Vielzahl Abmahnungen
+- Forderung unangemessen hoher Aufwendungsersatz
+
+## § 9 — Schadensersatz
+- Abs. 2: Bagatell-Vorbehalt — keine Schadensersatzpflicht bei geringfügigem Verstoß
+- Spüfflicht für Schäden durch unlautere Handlung
+
+## § 13 — Abmahnung
+
+- Abs. 1: Pflicht zur Abmahnung VOR Klage (Inanspruchnahme)
+- Abs. 2: Inhaltsanforderungen (Identität, Sachverhalt, geforderte Unterlassung)
+- Abs. 4: Aufwendungsersatz NUR wenn Abmahnung berechtigt + erforderlich
+
+**Audit-Relevanz:** Abmahn-Brief-Templates (`references/abmahn-templates.md`) folgen § 13 Abs. 2 Pflichtinhalt.
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | UWG-§ |
+|---------------|-------|
+| DSGVO-Verstoß abmahnbar | § 3a (BGH I ZR 7/16) |
+| TDDDG-Verstoß abmahnbar | § 3a |
+| DDG-Verstoß abmahnbar | § 3a |
+| BFSG-Verstoß abmahnbar | § 3a (ab 28.06.2025) |
+| Affiliate ohne Hinweis | § 5a Abs. 4 |
+| Influencer-Werbung | § 5a Abs. 4 + LG München I 4 HK O 14302/15 |
+| Newsletter ohne DOI | § 7 Abs. 2 Nr. 3 |
+| Cold-E-Mail-B2B | § 7 Abs. 2 Nr. 3 |
+| Cold-Anruf | § 7 Abs. 2 Nr. 2 |
+| Bestandskunden-Werbung | § 7 Abs. 3 |
+| Abmahn-Brief-Pflichten | § 13 Abs. 2 |
+| Aufwendungsersatz-Limit | § 13 Abs. 4 |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/VSBG/paragraphs.md

@@ -0,0 +1,57 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/vsbg/
+last-checked: 2026-05-01
+purpose: VSBG — Hinweispflicht zur Verbraucherschlichtung (Pflicht in Impressum + AGB).
+---
+
+# VSBG — Audit-relevante Paragraphen
+
+> Verbraucherstreitbeilegungsgesetz.
+> Volltext: https://www.gesetze-im-internet.de/vsbg/
+
+## § 36 — Allgemeine Informationspflicht (UNTERNEHMER GEGENÜBER VERBRAUCHER)
+
+- Abs. 1: Unternehmer mit > 10 Beschäftigten **MUSS** auf Webseite UND in AGB:
+  - Nr. 1: angeben, ob Bereitschaft / Verpflichtung zur Teilnahme an Streitbeilegungsverfahren besteht
+  - Nr. 2: bei Verpflichtung: zuständige Verbraucherschlichtungsstelle benennen
+- Abs. 2: gilt nur, wenn Unternehmer Webseite betreibt oder AGB verwendet
+- Abs. 3: Privileg < 10 Mitarbeiter
+
+**Wording-Vorlagen:**
+
+Nicht-bereit (typisch): „Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen."
+
+Bereit: „Wir sind bereit, an Streitbeilegungsverfahren vor folgender Verbraucherschlichtungsstelle teilzunehmen: [Name + Adresse + URL]"
+
+**Audit-Relevanz:**
+- Pflicht-Hinweis sowohl in Impressum als auch in AGB
+- Bei Online-Shops PFLICHT
+- Auch bei Premium-Subscription / SaaS
+
+**Az.-Anker:** BGH I ZR 169/17 (15.03.2018) — Hinweis ist abmahnfähig nach UWG § 3a + § 5a Abs. 1.
+
+## § 17 — Streitbeilegung-Mitteilungs-Pflicht im konkreten Streitfall
+
+Nach Scheitern direkter Verhandlungen: Verbraucher MUSS auf Verbraucherschlichtung hingewiesen werden.
+
+**Audit-Relevanz:** Customer-Support-Pfad nach Eskalation.
+
+## EU-ODR-Plattform-Hinweis (zusätzlich)
+
+Art. 14 Abs. 1 EU-VO 524/2013 (ODR-VO):
+- Online-Händler müssen leicht zugänglichen Link zur EU-ODR-Plattform setzen: **https://ec.europa.eu/consumers/odr/**
+- Pflicht-Wording: „Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit, die Sie hier finden: https://ec.europa.eu/consumers/odr"
+
+**Audit-Relevanz:** Pflicht für JEDEN Online-Shop (auch < 10 MA, ODR-Pflicht ist anders als VSBG-Pflicht). Als Plain-Text in Impressum + Bestellbestätigung.
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | Rechtsgrundlage |
+|---------------|-----------------|
+| VSBG-Hinweis Impressum | § 36 + BGH I ZR 169/17 |
+| VSBG-Hinweis AGB | § 36 |
+| ODR-Link Online-Shop | Art. 14 EU-VO 524/2013 |
+| Streitbeilegung im Einzelfall | § 17 |

package/skills/compliance/aegis-native/brutaler-anwalt/references/it-recht.md

@@ -58,6 +58,28 @@
 | **EU AI Act (EU 2024/1689)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689 | Risikobasierter Ansatz für KI-Systeme; ab 2025/2026 schrittweise in Kraft |
 | **Produkthaftungsrichtlinie (neu, 2024)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L2853 | Haftung auch für Software und KI-Systeme |
 
+### Verbraucherschutz / Whistleblower / Barrierefreiheit (2023-2025 in Kraft)
+| Gesetz | Volltext | Relevanz |
+|--------|---------|---------|
+| **HinSchG (Hinweisgeberschutzgesetz)** | https://www.gesetze-im-internet.de/hinschg/ | Whistleblower-Schutz; in Kraft seit 02.07.2023; ab 250 MA seit 02.07.2023 Pflicht; ab 50-249 MA seit 17.12.2023 Pflicht. Bussgeld bei fehlendem Meldekanal bis 20.000 EUR (§ 40 HinSchG, Bussgeld-Sanktion seit 01.12.2023). Quelle: [IHK Stuttgart](https://www.ihk.de/stuttgart/fuer-unternehmen/recht-und-steuern/arbeitsrecht/whistleblowing-5169770) |
+| **BFSG (Barrierefreiheitsstaerkungsgesetz)** | https://www.gesetze-im-internet.de/bfsg/ | Setzt EU-Accessibility-Act um; in Kraft seit 28.06.2025 fuer B2C-Online-Angebote (Webshops, Apps mit Vertragsabschluss, Buchungs-Plattformen). WCAG 2.1 Level AA verpflichtend. Mikrounternehmen <2 Mio. EUR Umsatz/Bilanzsumme + <10 MA = ausgenommen. § 30 BFSG Bussgeld bis 100.000 EUR. Quelle: [Wettbewerbszentrale BFSG-Leitfaden](https://www.wettbewerbszentrale.de/barrierefreiheitsstaerkungsgesetz-gilt-ab-28-juni-2025-was-unternehmen-jetzt-wissen-muessen/) · [HÄRTING BFSG im E-Commerce](https://haerting.de/wissen/das-barrierefreiheitsstaerkungsgesetz-bfsg-im-e-commerce/) |
+| **Faires-Verbraucherver­traege-Gesetz** | BGBl. I 2021 S. 4368 | § 309 Nr. 9 lit. b BGB Verlaengerungs-Klausel-Reform (in Kraft seit 01.03.2022) + § 312k BGB Online-Kuendigungsbutton (in Kraft seit 01.07.2022) |
+| **VDuG (Verbandsklagen-RL Umsetzungsgesetz)** | https://www.gesetze-im-internet.de/vdug/ | Abhilfeklage von Verbraucherverbaenden seit 13.10.2023 — kann tausende Verbraucherforderungen kollektiv buendeln |
+
+### Plattformrecht / Marktregulierung (EU-Verordnungen 2022-2024)
+| Verordnung | Volltext | Relevanz |
+|------------|---------|---------|
+| **Digital Services Act (DSA, EU 2022/2065)** | https://eur-lex.europa.eu/eli/reg/2022/2065/oj | Pflichten fuer Hosting-Dienste, Online-Plattformen, sehr grosse Plattformen (VLOPs). Volle Anwendung seit 17.02.2024. Pflicht: Notice-and-Action, transparente AGB, Dunkles-Muster-Verbot, Werbe-Transparenz. § 21 DDG i.V.m. DSA-DG (DE-Umsetzung). |
+| **Digital Markets Act (DMA, EU 2022/1925)** | https://eur-lex.europa.eu/eli/reg/2022/1925/oj | Gilt nur fuer "Gatekeeper" (>= 75 Mrd. EUR Marktkapitalisierung + 45 Mio. EU-Endnutzer). KMU nicht direkt betroffen — aber Marktverhalten der Gatekeeper aendert sich (Interoperabilitaet, Self-Preferencing-Verbot). |
+
+### Drohend / im Anflug (Beobachtungs-Liste)
+| Vorhaben | Status (Stand 2026-04-30) | Relevanz |
+|----------|---------------------------|---------|
+| **EU AI Act Art. 50** (Transparenz-Pflichten) | Anwendbar **ab 02.08.2026** (24 Mt nach Inkrafttreten); Bussgeld bis 15 Mio. EUR / 3% Jahresumsatz nach Art. 99. Quelle: [TUEV Rheinland](https://consulting.tuv.com/aktuelles/ki-im-fokus/transparenzpflichten-eu-ai-act-art-50) | Chatbots / KI-Bilder / Emotionserkennung muessen Nutzer ueber KI-Charakter informieren. |
+| **Cyber Resilience Act (EU 2024/2847)** | Schrittweise ab 11.12.2024; volle Anwendung 11.12.2027 | Sicherheitspflichten fuer "Produkte mit digitalen Elementen" (IoT, Software). |
+| **Data Act (EU 2023/2854)** | Anwendbar ab 12.09.2025 | B2B-Datenzugang, Wechsel-Pflichten fuer Cloud-Anbieter. |
+| **NIS2-Umsetzungsgesetz DE (NIS2UmsuCG)** | Bundestags-Verfahren laufend (Stand 2026-04-30 — Status pruefen) | Setzt EU NIS2-RL in DE-Recht um. Bis dahin gilt das alte BSIG. |
+
 ---
 
 ## Impressumspflicht (§ 5 DDG, vormals § 5 TMG)