npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/TDDDG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,92 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: TDDDG Audit-Relevance — Cookie-/Endgerät-Layer.
+---
+# TDDDG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei JEDER Site mit:
+- Cookie-Banner
+- LocalStorage / SessionStorage / IndexedDB
+- Browser-Fingerprinting
+- Service-Worker
+- Tracking-Scripts (GA, Matomo, Plausible, Meta Pixel, TikTok Pixel)
+- Session-Recording (Hotjar, FullStory, LogRocket)
+- A/B-Testing (Optimizely, Google Optimize, VWO)
+- Server-Side-GTM mit Browser-Trigger
+- IoT-Gerät mit Telemetrie
+## Trigger im Code/UI
+- **Cookie-Banner mit Pre-Tick** → § 25 Abs. 1 + EuGH C-673/17
+- **„Reject-All"-Button visuell schwächer** als Accept → § 25 + EDPB-Guideline 03/2022
+- **Tracking-Pixel auf Page-Load** vor Consent → § 25 Abs. 1
+- **LocalStorage-Set** vor Consent (z.B. _ga in localStorage) → § 25 Abs. 1
+- **Marketing-Cookie als „technisch notwendig" deklariert** → § 25 Abs. 2 Nr. 2 fail
+- **Server-Side-GTM ohne Frontend-Consent-Sync** → § 25 Abs. 1 (wenn Trigger im Browser)
+- **Session-Recording ohne explizite Einwilligung** → § 25 Abs. 1
+- **Browser-Fingerprinting für Fraud-Detection** ohne Einwilligung (Einzelfall-Abwägung) → § 25
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Cookie ohne Einwilligung | § 25 Abs. 1 + § 28 | bis 300.000 € + DSGVO-Bußgeld bis 4 % Umsatz | § 28 TDDDG + DSGVO Art. 83 |
+| Pre-Tick / unklare Belehrung | § 25 + § 28 | bis 300.000 € + UWG-Abmahnung | § 28 TDDDG |
+| Reject-All-Asymmetrie | § 25 + § 28 | bis 300.000 € + UWG-Abmahnung | § 28 TDDDG |
+UWG-§-3a-Abmahnung-Risiko erheblich: Verbraucherzentrale Bundesverband, vzbv, regionale Stellen abmahnen aktiv.
+## Pflicht-Surfaces
+| Surface | TDDDG-§ |
+|---|---|
+| Cookie-Banner | § 25 Abs. 1 |
+| LocalStorage-Tracking | § 25 Abs. 1 |
+| Funktionale Cookies (Session) | § 25 Abs. 2 Nr. 2 |
+| Pre-Tick-Boxen | § 25 Abs. 1 + EuGH C-673/17 |
+| Reject-All-Button | § 25 Abs. 1 + EDPB Guidelines 03/2022 |
+| Browser-Fingerprinting | § 25 Abs. 1 |
+| Server-Side-Tracking | § 25 Abs. 1 (wenn Trigger im Browser) |
+## Top-Az.
+- **EuGH C-673/17 Planet49** (01.10.2019) — Pre-Tick-Box keine wirksame Einwilligung
+- **BGH I ZR 7/16** (28.05.2020) — Cookie-Einwilligungs-Pflicht
+- **EuGH C-129/21 Proximus** — Cookie-Daten als personenbezogene Daten
+- **OLG Köln 6 U 88/22** — Reject-All-Asymmetrie
+- **CNIL/Frankreich Bußgeld Google + Meta 2022** (€ 60-150 Mio) — vergleichbarer EU-Maßstab
+- **BlnBDI Bußgeld Vodafone 2025** — Cookie-Banner-Defizite
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/EU-Verordnungen/ePrivacy-RL-2002-58/` direkte EU-Norm
+- `references/dsgvo.md` Art. 6 + Art. 7 (Einwilligung)
+- `references/gesetze/EU-Verordnungen/ePrivacy-VO-Entwurf/` (in Planung; ersetzt RL 2002/58)
+- `references/audit-patterns.md` Phase 5 für Cookie-Audit-Surface
+## Cookie-Banner-Compliance — technischer Pfad
+- Default-State: Tracking-Cookies NICHT gesetzt
+- Banner-Layer-1: kurze Info + 3 Buttons („Akzeptieren", „Ablehnen", „Einstellungen")
+- Reject-All gleichwertig zu Accept-All (gleiche visual prominence)
+- Settings-Layer: granulare Opt-Ins pro Cookie-Kategorie
+- Speicherung Consent-Beweis (Datum, Version, IP-Hash)
+- Widerruf jederzeit möglich (Footer-Link „Cookie-Einstellungen")
+- Re-Consent nach max. 6-13 Monaten (Best-Practice)
+- Server-Side-GTM: Frontend-Consent-Token in Request-Header / cookieless ID
+## Praktischer Audit-Checklist
+- [ ] Banner verzögert kein Tracking pre-Consent
+- [ ] Reject-All visuell + funktional gleichwertig
+- [ ] Pre-Tick = OFF (kein Default-Opt-In)
+- [ ] Granulare Optionen (Funktional / Statistik / Marketing)
+- [ ] Consent-Speicherung mit Beweisbarkeit
+- [ ] Widerruf-Link sichtbar (Footer)
+- [ ] Browser-Fingerprinting-Tools im Banner gelistet
+- [ ] Server-Side-Trigger respektiert Frontend-Consent
+- [ ] DSE deckt Cookie-Liste mit Zweck + Speicherdauer

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/TDDDG/paragraphs.md ADDED Viewed

@@ -0,0 +1,91 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/ttdsg/
+last-checked: 2026-05-05
+purpose: TDDDG (vormals TTDSG) — Cookie-/Endgerät-Layer-Datenschutz; relevante Paragraphen mit Audit-Mapping. Gilt seit 14.05.2024 (vorher TTDSG seit 01.12.2021).
+---
+# TDDDG — Kern-Paragraphen
+> Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
+> Vormals TTDSG, umbenannt zum 14.05.2024 (DSA-Anpassungsgesetz).
+> Volltext: https://www.gesetze-im-internet.de/ttdsg/ (kanonischer URL bleibt
+> der Legacy-Slug; `/tdddg/` und `/tddg/` sind 404)
+> EU-Hintergrund: ePrivacy-RL 2002/58/EG; DSGVO ergänzend.
+## §§ 1–3 — Anwendungsbereich
+**Wortlaut (Kern)**: TDDDG gilt für Telemedien (Webseiten, Apps, SaaS) + Telekommunikation. Regelt Endgerät-Datenschutz + Telekommunikations-Geheimnis + Bestandsdaten-Schutz.
+---
+## § 25 — Schutz der Privatsphäre bei Endeinrichtungen (Cookies + Mehr)
+### § 25 Abs. 1 — Einwilligungspflicht
+**Wortlaut**: Speichern von Informationen in der Endeinrichtung des Endnutzers oder Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren + umfassenden Informationen eingewilligt hat. **Die Information des Endnutzers + die Einwilligung haben gemäß der DSGVO zu erfolgen** (Art. 4 Nr. 11 + Art. 7 DSGVO).
+### § 25 Abs. 2 — Einwilligungs-Ausnahmen
+**Wortlaut (Kern)**: Keine Einwilligung erforderlich, wenn:
+- **Nr. 1**: alleiniger Zweck = Übertragung einer Nachricht über öffentliches Telekommunikations-Netz,
+- **Nr. 2**: Speicherung / Zugriff **unbedingt erforderlich**, um vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen.
+### § 25 Abs. 3 — Definitionen
+**Wortlaut (Kern)**: „Endeinrichtung" = Endgerät (PC, Smartphone, Browser, App, IoT-Gerät). Erfasst werden alle Speicher-/Auslese-Vorgänge:
+- Cookies,
+- LocalStorage / SessionStorage,
+- IndexedDB,
+- Service-Worker-Cache,
+- Pixel-Tracker (Auslesen Browser-Eigenschaften),
+- Browser-Fingerprinting,
+- IP-Hashing in Endgerät,
+- Token-Speicher.
+**Audit-Relevanz**:
+- Cookie-Banner Pflicht-Trigger
+- Pre-checked-Boxen unzulässig (EuGH C-673/17 „Planet49" + BGH I ZR 7/16)
+- Reject-All gleichwertig zu Accept-All (EDPB Guidelines 03/2022)
+- Funktionale Cookies (Login-Session, Warenkorb, Sprachwahl, CSRF-Token): Abs. 2 Nr. 2 — keine Einwilligung
+- Session-Recording / A/B-Testing / Heat-Map: KEIN Abs.-2-Nr.-2-Fall → Einwilligung nötig
+- Marketing-Pixel (Meta, Google Ads, TikTok): immer Einwilligung
+---
+## § 26 — Anerkannte Einwilligungs-Verwaltungsdienste (PIMS)
+**Wortlaut (Kern)**: Möglichkeit für „universelle" Cookie-Einwilligungs-Verwaltung. Verordnung der Bundesregierung soll Anforderungen + Anerkennungs-Verfahren festlegen — Stand 2026: Verordnungs-Entwurf BMI 2024 noch nicht in Kraft.
+**Audit-Relevanz**: in Praxis 2026 noch nicht aktiv genutzt — Stand der Verordnungsentwicklung beobachten.
+---
+## § 24 — Telekommunikations-Inhaltsdaten
+**Wortlaut (Kern)**: Schutz Telekommunikations-Geheimnis + Inhaltsdaten gegenüber Telekommunikations-Diensteanbietern. Eingriff nur unter strengen Voraussetzungen (Strafverfolgung, Sicherheits-Behörden).
+---
+## § 28 — Bußgeldvorschriften
+**Wortlaut (Kern)**: Ordnungswidrig handelt, wer gegen § 25 (Cookies / Endgerät-Schutz) oder weitere TDDDG-Vorschriften verstößt.
+**§ 28 Abs. 5 — Bußgeld-Rahmen**:
+- Standardfall: bis **300.000 €** pro Verstoß
+- in besonders schweren Fällen + bei VLOP-Größe: höhere Beträge möglich (Verweis auf DSGVO-Sanktionen)
+Plus DSGVO-Direkt-Sanktion möglich (Art. 83) bei Cookie-Daten als personenbezogene Daten.
+**Audit-Relevanz**: BfDI / Landesdatenschutzbehörden + Verbraucherzentralen aktiv (Hamburgischer DSB, BayLDA, BlnDB).
+---
+## Migration-Tabelle (TTDSG → TDDDG)
+Inhalt identisch, nur umbenannt zum 14.05.2024.
+- TTDSG § 25 → TDDDG § 25 (Cookies)
+- TTDSG § 24 → TDDDG § 24 (Inhaltsdaten)
+Skill-Output: stets „TDDDG" zitieren (TTDSG nur als historischer Hinweis bei alten Az.).

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/UrhG-UrhDaG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,85 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: UrhG + UrhDaG Audit-Relevance — Asset-Lizenzierung, Plattform-Pflichten, Stock-Image-Risiko.
+---
+# UrhG + UrhDaG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei Sites/Apps mit:
+- Stock-Bildern / Pexels-/Unsplash-Nutzung
+- AI-generierten Bildern (Provenienz unsicher)
+- Custom-Code (Copyleft-Lizenz-Compliance)
+- UGC-Plattformen (Foren, Marketplaces, Profile-Sites)
+- Social-Media-Sharing-Funktionen
+- News-Aggregator-Funktionen
+- Parodie-/Meme-Plattformen
+- KI-Trainings-Daten-Verarbeitung
+## Trigger im Code/UI
+- **Stock-Bild ohne Lizenz-Beleg** im CDN → § 19a + § 97
+- **Open-Source-Library mit Copyleft** (GPL/AGPL) ohne Lizenz-Hinweis → § 69c (Software) + GPL-Verstoß
+- **„Sourced from Web"** Bilder ohne Provenance → § 97 Schadensersatz-Risiko
+- **YouTube-/Spotify-Embed ohne Verträge** → § 19a (außer iframe = direkt vom Provider)
+- **News-Snippet-Aggregator** ohne Press-Lizenz → § 87f
+- **AI-Image-Generator-Output** ohne Trainingsdaten-Klärung → unklar; § 97-Risiko bei „im Stil von X"
+- **Plattform für Nutzer-Uploads** ohne Filter / Lizenz-Vertrag → UrhDaG §§ 4-8
+- **„Eigene Werk"-Pre-Flag-Funktion** fehlt für UGC → UrhDaG § 11
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Stock-Image ohne Lizenz | § 19a + § 97 Abs. 2 | typisch € 1.000-3.000 pro Bild (Lizenzanalogie) | § 97 + BGH-Praxis |
+| Software-Code-Klau (GPL-Verstoß) | § 69c + § 97 | Lizenzanalogie + Auskunft + Beseitigung | § 97 UrhG |
+| Strafrecht Vorsatz | § 106 | Freiheitsstrafe bis 3 Jahre | § 106 UrhG |
+| UrhDaG-Plattform Verstoß | UrhDaG § 4 + § 21 | bis 5 % weltweiter Jahresumsatz | UrhDaG § 21 |
+| Abmahn-Kosten | § 97a | bei Privat einfache Verletzung max. 1.000 € Gegenstandswert | § 97a Abs. 3 UrhG |
+## Top-Az.
+- **EuGH C-310/17 Levola Hengelo** — Werksbegriff
+- **EuGH C-516/17 Spiegel Online** — Pressezitat
+- **EuGH C-401/19** — UrhDaG-RL-Vorlage zu Art. 17
+- **BGH I ZR 113/06** — Stock-Image Lizenzanalogie
+- **BGH I ZR 73/19 „YouTube"** — Plattform-Haftung pre-UrhDaG
+- **OLG Köln 6 U 105/22** — UrhDaG-Pre-Flag-Anwendung
+- **EuGH C-264/19** — DRM-Umgehung-Verbote
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/EU-Verordnungen/DSM-RL-2019-790/` direkte EU-Norm
+- `references/gesetze/EU-Verordnungen/DSA-2022-2065/` für Plattform-Notice-and-Action
+- `references/gesetze/DDG/` § 10 für Hosting-Privileg-Abgrenzung
+- `references/gesetze/AI-Act-2024-1689/` Art. 53 für KI-Trainings-Daten-Transparenz
+- `references/audit-patterns.md` Phase 6 (Asset-/Lizenz-Audit-Surface)
+## Asset-Lizenz-Compliance — technischer Pfad
+1. **Bild-Lizenz-DB**: pro Asset Lizenz-URL + Bezugsquelle + Datum
+2. **Stock-Provider-Vertrag**: AGB lesen — was ist „Editorial only" / „Commercial Use"?
+3. **AI-Image**: Trainingsdaten-Provenienz-Frage — bei Stable Diffusion / Midjourney unklar; § 97-Risiko bei Stil-Imitation echter Künstler
+4. **Code-Lizenz**: SBOM (Software Bill of Materials) generieren mit Lizenz-Spalte
+5. **GPL/AGPL-Compliance**: Source-Code-Pflicht bei Distribution / Public-Use
+6. **Music / Video Embed**: nur über offizielle Embed-Player des Rechteinhabers (YouTube-iframe, Spotify-Player) → eigentliche Wiedergabe erfolgt Provider-seitig
+## UrhDaG-Compliance für UGC-Plattformen
+- [ ] Lizenz-Verträge mit Verwertungsgesellschaften (GEMA, VG Wort, GVL)
+- [ ] Hash-/Fingerprint-Filter für Upload-Erkennung (z.B. ContentID-Modell)
+- [ ] Pre-Flag-Funktion für Nutzer („eigenes Werk", „Zitat", „Parodie")
+- [ ] Bagatell-Erkennung (≤ 50 % Bild, ≤ 15s Audio/Video, ≤ 160 Zeichen Text)
+- [ ] Rechtsbeschwerde-Endpoint mit 1-Woche-Reaktionszeit
+- [ ] Aufsichts-Kontakt zu BNetzA
+- [ ] BfArM-Hinweis zur Direkt-Vergütung Urheber (§ 18)
+- [ ] AGB enthalten Hinweis auf UrhDaG + Pre-Flag-Modus
+- [ ] Beschwerde-Stelle (siehe DDG § 18 SPoC)
+## KI-Spezifika
+- **Trainings-Daten**: TDM-Schranken §§ 44b, 60d UrhG für Wissenschaft + KI-Training; Opt-Out durch Rechteinhaber (machine-readable, robots.txt-Modus)
+- **AI-Output**: KEIN urheberrechtlicher Schutz für reine KI-Erzeugnisse (mangels persönlicher Schöpfung) — aber ggf. § 97-Verstoß bei Stil-Imitation
+- **AI Act Art. 53**: Foundation-Model-Anbieter müssen Trainings-Daten-Transparenz-Liste veröffentlichen ab 02.08.2025

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/UrhG-UrhDaG/paragraphs.md ADDED Viewed

@@ -0,0 +1,166 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/urhg/ + https://www.gesetze-im-internet.de/urhdag/
+last-checked: 2026-05-05
+purpose: UrhG (Urheberrechtsgesetz) + UrhDaG (Urheberrechts-Diensteanbieter-Gesetz, in Kraft 07.06.2021) — Werks-Schutz, Verwertungsrechte, Schranken, Plattform-Filter-Pflicht (Art. 17 DSM-RL).
+---
+# UrhG + UrhDaG — Kern-Paragraphen
+> Urheberrechtsgesetz (UrhG): https://www.gesetze-im-internet.de/urhg/
+> Urheberrechts-Diensteanbieter-Gesetz (UrhDaG): https://www.gesetze-im-internet.de/urhdag/
+> EU-Hintergrund: DSM-Richtlinie (RL 2019/790) Art. 17 — UrhDaG-Umsetzung.
+## Teil 1 — UrhG (Stamm-Gesetz)
+### § 1 — Allgemeines
+**Wortlaut (Kern)**: Werke der Literatur, Wissenschaft + Kunst genießen Schutz nach UrhG.
+### § 2 — Geschützte Werke
+**Wortlaut (Kern, Abs. 1)**: Geschützt sind insb.:
+- Sprachwerke (Bücher, Code, Skripte, Reden),
+- Werke der Musik,
+- pantomimische Werke + Werke der Tanzkunst,
+- Werke der bildenden Kunst, Architektur,
+- Lichtbildwerke + Filmwerke,
+- Darstellungen wissenschaftlicher / technischer Art (Karten, Pläne, Zeichnungen),
+- **Computerprogramme** (§ 69a UrhG separat).
+**§ 2 Abs. 2**: Werke = persönliche geistige Schöpfungen mit Schöpfungshöhe (Originalität).
+**Audit-Relevanz**: Code, UI-Designs, Texte auf Site, Logos, Stock-Images sind UrhG-geschützt. Pflicht zur Lizenz-Klärung für jedes Asset.
+---
+### §§ 16–23 — Verwertungsrechte
+**Wortlaut (Kern)**:
+- **§ 15** — Bündel-Norm: Vervielfältigung, Verbreitung, öffentliche Wiedergabe.
+- **§ 16** — Vervielfältigungsrecht.
+- **§ 17** — Verbreitungsrecht.
+- **§ 19a** — **Recht der öffentlichen Zugänglichmachung** (Online-Stellen) — zentrale Norm für Internet.
+- **§ 23** — Bearbeitungs- + Umgestaltungsrecht.
+**Audit-Relevanz**: Online-Stellen jeder Art ist § 19a-relevant — Hosting fremder Inhalte ohne Lizenz = Verstoß.
+---
+### § 51 — Zitatrecht
+**Wortlaut (Kern)**: Zitate sind erlaubt, wenn:
+- **Nr. 1**: einzelne Werke nach Erscheinen in selbständige wissenschaftliche Werke aufgenommen werden,
+- **Nr. 2**: Stellen eines Werkes nach Veröffentlichung in einem selbständigen Sprachwerk angeführt werden,
+- **Nr. 3**: einzelne Stellen eines erschienenen Werkes der Musik in selbständigen Werken der Musik angeführt werden.
+**Voraussetzungen Zitat**: Quelle nennen + Inhalts-Auseinandersetzung + Umfang verhältnismäßig.
+**Audit-Relevanz**: Blog-Posts mit Bild-/Text-Zitaten brauchen Zitatzweck + Quelle. Reine Bebilderung ist KEIN Zitat → Verstoß.
+---
+### §§ 60a–60h — Wissenschaft + Bildung
+**Wortlaut (Kern)**: Schranken für Bildungs-/Wissenschafts-Nutzung — Lehrer kann bis 15 % eines Werkes vervielfältigen + verteilen, Forschung darf Werke vervielfältigen, Bibliotheken dürfen digitalisieren.
+---
+### § 87f — Leistungsschutzrecht für Presseverleger
+**Wortlaut (Kern)**: Presseverlage haben für 2 Jahre exclusives Recht zur kommerziellen Online-Wiedergabe ihrer Presseveröffentlichungen — sehr kurze Snippets ausgenommen.
+**Audit-Relevanz**: News-Aggregatoren / RSS-Feed-Anzeigen brauchen Lizenz (z.B. via Corint Media, VG Media).
+---
+### §§ 97–101 — Rechtsfolgen Verletzung
+**Wortlaut (Kern)**:
+- **§ 97 Abs. 1** — Beseitigungs- + Unterlassungsanspruch.
+- **§ 97 Abs. 2** — Schadensersatz: berechnet nach Lizenzanalogie ODER konkret-Schaden ODER Verletzergewinn.
+- **§ 97a** — Abmahnung mit Pflicht-Inhalt + Kosten-Begrenzung (§ 97a Abs. 3 — bei einfacher Verletzung Privater max. 1.000 € Gegenstandswert).
+- **§ 98** — Vernichtungsanspruch.
+- **§ 101** — Auskunftsanspruch (Bezugsquellen, Vertriebs-Wege).
+**Audit-Relevanz**: Stock-Image-Klagen ($GettyImages-Modell) berechnen typisch € 1.000-3.000 pro unautorisierte Verwendung.
+---
+### §§ 106–111 — Strafvorschriften
+**Wortlaut (Kern)**:
+- **§ 106** — Unerlaubte Verwertung urheberrechtlich geschützter Werke: Freiheitsstrafe bis 3 Jahre / Geldstrafe.
+- **§ 108b** — Unerlaubte Eingriffe in technische Schutzmaßnahmen (DRM-Umgehung).
+---
+## Teil 2 — UrhDaG (Plattform-Pflichten)
+### Anwendungsbereich
+**Wortlaut (Kern)**: UrhDaG gilt für **Diensteanbieter für das Teilen von Online-Inhalten** — d.h. Plattformen, die:
+- in großem Umfang von Nutzern hochgeladene urheberrechtlich geschützte Werke speichern + öffentlich zugänglich machen,
+- mit anderen Online-Inhalte-Diensten in Wettbewerb stehen,
+- Hauptzweck: Speicherung + Zugänglichmachung großer Mengen Nutzer-Content,
+- Inhalte nach Absicht der Plattform-Bewerbung aufbereiten.
+**Ausnahmen**: KMU-Plattformen < 3 Jahre + < € 10 Mio Jahresumsatz + < 5 Mio Unique Visitors haben reduzierte Pflichten (UrhDaG § 2 Abs. 2 Satz 2).
+**Audit-Relevanz**: YouTube, TikTok, Instagram-Reels, Facebook, X/Twitter, Reddit, Pinterest = Diensteanbieter. Eigene UGC-Plattformen meist auch.
+---
+### § 4 — Lizenzpflicht
+**Wortlaut (Kern)**: Diensteanbieter ist verpflichtet, von Rechteinhabern **Nutzungsrechte zu erwerben** für die Wiedergabe + Vervielfältigung urheberrechtlich geschützter Werke. Nicht erworbene Lizenzen → § 7 ff Pflichten greifen.
+---
+### § 5 — Pre-Flagging „Erlaubt"
+**Wortlaut (Kern)**: Nutzer können beim Upload Inhalte als „erlaubt" kennzeichnen — z.B. Eigene-Werk-Erklärung, Zitat, Karikatur. Plattform muss Pre-Flag respektieren (außer bei offensichtlich unrichtigen Erklärungen).
+---
+### § 8 — Sperrung / Entfernung
+**Wortlaut (Kern)**: Bei Treffer einer von Rechteinhaber bekannt-gemachten Identifikator-Information (Hash, Fingerprint) muss Plattform Inhalt sperren / entfernen — außer bei mutmaßlich erlaubter Nutzung (§ 9-12).
+---
+### §§ 9–12 — Mutmaßlich erlaubte Nutzungen (Bagatell-Schranken)
+**Wortlaut (Kern)**: Inhalte gelten als „mutmaßlich erlaubt" wenn:
+- **§ 10** — Bagatell-Nutzung: Teile fremder Werke (Bilder ≤ 50 %, Filme ≤ 15 Sekunden, Audio ≤ 15 Sekunden, Text ≤ 160 Zeichen) — Plattform stellt Mindeststandard sicher,
+- **§ 11** — Pre-Flag „Eigene Erklärung",
+- **§ 12** — Karikatur, Parodie, Pastiche.
+**Folge**: Plattform muss mutmaßlich erlaubte Nutzungen WÄHREND Rechtsbeschwerde-Prüfung sichtbar lassen.
+---
+### § 14 — Rechtsbeschwerde
+**Wortlaut (Kern)**: Rechteinhaber kann bei Plattform Beschwerde einlegen, dass Inhalt unzulässig erlaubt-geflaggt sei. Plattform muss binnen 1 Woche entscheiden + Nutzer informieren.
+---
+### § 18 — Direkte Vergütung Urheber
+**Wortlaut (Kern)**: Direkter Vergütungsanspruch des Urhebers (auch wenn Lizenz-Vertrag mit Verwerter / Verlag besteht) — Verwertungsgesellschaften (GEMA, VG Wort, etc.) treiben ein.
+---
+### § 19 — Aufsichtsbehörde
+**Wortlaut (Kern)**: Bundesnetzagentur (BNetzA) ist Aufsichtsbehörde + nimmt Beschwerden entgegen.
+---
+### §§ 21–22 — Sanktionen
+**Wortlaut (Kern)**: BNetzA kann Anordnungen erlassen + Bußgelder bis **5 % weltweiter Jahresumsatz** verhängen.
+**Audit-Relevanz**: parallel zu DSA + DDG-Sanktionen. Plattform-Operatoren (auch mittlere) müssen eigenen Filter-Mechanismus oder Lizenz-Verträge nachweisen.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/VDuG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,71 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: VDuG Audit-Relevance — Massen-Klage-Risiko durch Verbraucherverbände.
+---
+# VDuG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei JEDEM B2C-Operator mit größerer Nutzerbasis (i.d.R. ≥ 50 betroffene Verbraucher), insb.:
+- Cookie-Tracking-Heavy-Sites
+- AGB mit umstrittenen Klauseln
+- Subscription-Modelle (Auto-Renewal)
+- Banking / Insurance / Telco-Tarife
+- Online-Marktplätze
+- Reise-Buchungs-Plattformen
+- Energie-Versorger / Stromtarife
+## Trigger im Code/UI / Doku
+- **Auto-Renewal-Klauseln** ohne klare Kündigungs-Logik → Klage-Risiko
+- **Zinsanpassungs-Klauseln** in Bank-/Bausparkassen-Verträgen → Klage-Risiko
+- **Cookie-Tracking ohne Consent** → Massen-Klage Cookie-Schadensersatz
+- **Sale-Streichpreis-Verstöße** → Aggregat-Schadensersatz
+- **Versicherungs-Tarif-Anpassungs-Mechaniken** → Klassische Klage-Anker
+- **Compliance-Defizit-Persistenz** (UWG-Abmahnung ignoriert) → Klage-Eskalation
+## Wirkung + Konsequenzen
+| Klagetyp | Effekt | Quelle |
+|---|---|---|
+| Abhilfeklage erfolgreich | Aggregat-Schadensersatz an alle angemeldeten Verbraucher | § 14 + § 28 VDuG |
+| Musterfeststellung erfolgreich | Verbindliche tatsächliche/rechtliche Feststellung | § 41 VDuG |
+| Eintrag im Klagen-Register | Öffentliche Reputation-Schädigung | § 16 VDuG |
+| Vergleich gerichtlich genehmigt | Bindung an angemeldete Verbraucher | § 22 VDuG |
+**Schadens-Risiko**: Aggregat aus Einzel-Schäden × angemeldete Nutzer. Bei DSGVO-Cookie-Bannern hat EuGH C-300/21 (04.05.2023) Schadensersatz auch für „Ärger" anerkannt — meist 50-500 € pro Person nach OLG-Maßstäben.
+## Top-Az.
+- **vzbv vs. Mercedes-Benz Bank** (LG Stuttgart 2024) — laufende Abhilfeklage
+- **vzbv vs. Klarna** — Cookie-/Tracking-Klage
+- **EuGH C-300/21** „UI vs Österreichische Post" — Schadensersatz-Begriff bei DSGVO-Verletzung
+- **BGH VI ZR 1244/22** — DSGVO-Schadensersatz-Maßstab in DE post-EuGH
+- **OLG Stuttgart 1 U 16/21** — Schadensersatz-Höhe Cookie-Verletzung
+## Cross-Reference (zu anderen Skill-Files)
+- `references/dsgvo.md` Art. 82 (Schadensersatz) — Hebel für Massen-Schaden
+- `references/gesetze/UWG/audit-relevance.md` § 8 (Klagebefugnis-Vorstufe)
+- `references/gesetze/PAngV/` — typischer Anker für Sale-Klagen
+- `references/gesetze/TDDDG/` — typischer Anker für Cookie-Klagen
+- `references/audit-patterns.md` Phase 6 — Compliance-Doku zur Verteidigung
+## Verteidigungs-Pfad bei VDuG-Klage
+1. **Prüfung Klagebefugnis** der klagebefugten Stelle (Eintrag UKlaG-Register?)
+2. **Prüfung Anmelde-Schwelle** (50 betroffene Verbraucher mindestens)
+3. **Inhaltliche Verteidigung** zum behaupteten Verstoß
+4. **Vergleichs-Verhandlungen** vor mündlicher Verhandlung (kosten-effizienter)
+5. **Veröffentlichungs-Klausel** im Vergleich begrenzen (Reputations-Schutz)
+## Praktischer Audit-Checklist
+- [ ] AGB-Klauseln OLG-/BGH-konform (Cross-Ref §§ 305-310 BGB)
+- [ ] Cookie-Banner DSGVO + TDDDG-konform
+- [ ] Streichpreis-Logik PAngV-konform (30-Tage-Min)
+- [ ] Auto-Renewal-Logik § 312k BGB-konform (Kündigungs-Button)
+- [ ] Tarif-Anpassungs-Klauseln transparent + transparency-rechtlich abgesichert
+- [ ] Verbandsklagen-Register-Watch (gh-Action / regelmäßige BfJ-Abfrage) für eigene Brand-Namen

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/VDuG/paragraphs.md ADDED Viewed

@@ -0,0 +1,102 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/vdug/
+last-checked: 2026-05-05
+purpose: VDuG (Verbraucherrechtedurchsetzungsgesetz) — DE-Umsetzung RL 2020/1828 (Verbandsklagen-Richtlinie). In Kraft seit 13.10.2023.
+---
+# VDuG — Kern-Paragraphen
+> Verbraucherrechtedurchsetzungsgesetz (VDuG).
+> Volltext: https://www.gesetze-im-internet.de/vdug/
+> EU-Hintergrund: RL 2020/1828 über Verbandsklagen.
+## § 1 — Anwendungsbereich
+**Wortlaut (Kern)**: VDuG regelt zwei Arten von Verbandsklagen:
+- **Abhilfeklage** (§§ 14-40) — Klage auf Leistung an betroffene Verbraucher (Geld, Reparatur, Rückabwicklung).
+- **Musterfeststellungsklage** (§§ 41-42) — Klage auf Feststellung tatsächlicher / rechtlicher Voraussetzungen für Verbraucherrechte.
+**Audit-Relevanz**: nur klagebefugte Stellen können Klage erheben (NICHT individuelle Verbraucher-Anwälte). Aber: betroffene Verbraucher können sich bei Klage anschließen (ggf. opt-in oder opt-out je nach Verfahrensart).
+---
+## § 4 — Klagebefugnis
+**Wortlaut (Kern)**: Klagebefugt sind:
+- nach UKlaG qualifizierte Einrichtungen (vzbv + regionale Verbraucherzentralen + Wettbewerbszentrale + andere im Verbandsklagen-Register),
+- nach RL 2020/1828 anerkannte Stellen anderer EU-Mitgliedstaaten (grenzüberschreitende Verfahren).
+---
+## § 14 — Abhilfeklage
+**Wortlaut (Kern)**: Klagebefugte Stelle erhebt Klage auf Leistung an mindestens **50** betroffene Verbraucher. Verbraucher müssen sich opt-in zur Klage in Verbandsklagen-Register anmelden.
+**§ 15 — Anmeldungs-Frist**: Verbraucher können sich bis 3 Wochen vor Schluss der mündlichen Verhandlung zur Klage anmelden.
+**Audit-Relevanz**: massive Klage-Wirkung. Bei Compliance-Defiziten (fehlerhafte Cookie-Banner, AGB-Klauseln, Preisangaben) können tausende Verbraucher gemeinsam klagen. Beklagte zahlen wenn verloren ALLE.
+---
+## § 19 — Wirkung des Anmeldungs-Antrags
+**Wortlaut (Kern)**: Anmeldung zur Klage hemmt Verjährung individueller Ansprüche der Verbraucher.
+---
+## §§ 16-18 — Verbandsklagen-Register
+**Wortlaut (Kern)**: Bundesamt für Justiz (BfJ) führt öffentliches Verbandsklagen-Register. Klagen werden eingetragen + öffentlich einsehbar — incl. Beklagten-Name, Streitgegenstand.
+**Audit-Relevanz**: Reputations-Risiko. Eintrag in BfJ-Verbandsklagen-Register = öffentliche Bekanntmachung des Compliance-Defizits.
+---
+## § 22 — Vergleich
+**Wortlaut (Kern)**: Vergleich zwischen Klagebefugter Stelle + Beklagter bedarf gerichtlicher Genehmigung. Vergleich entfaltet Wirkung für angemeldete Verbraucher.
+---
+## § 28 — Vollstreckung
+**Wortlaut (Kern)**: Bei stattgebendem Urteil können angemeldete Verbraucher Leistung aus dem Urteil verlangen — Vollstreckungs-Schritte werden durch klagebefugte Stelle koordiniert.
+---
+## § 41–42 — Musterfeststellungsklage
+**Wortlaut (Kern)**: Klage auf Feststellung tatsächlicher / rechtlicher Voraussetzungen — Wirkung für angemeldete Verbraucher analog Abhilfeklage.
+**Audit-Relevanz**: Übergangsregelung — bestehende Musterfeststellungsklagen (vor 13.10.2023) werden nach VDuG fortgeführt.
+---
+## Sanktionen
+**Wortlaut (Kern)**: VDuG selbst hat KEINE Bußgeld-Vorschriften — die zugrunde liegenden Verstöße triggern Bußgelder nach jeweiligen Sektor-Gesetzen (DSGVO Art. 83, UWG, PAngV, etc.).
+VDuG-spezifisch: Im Klage-Erfolgsfall werden ZIVIL-Forderungen gegen Beklagte tituliert + vollstreckbar (Schadensersatz, Rückzahlung, Vertragsabwicklung).
+**Audit-Relevanz**: Kein direktes Bußgeld, aber:
+- Aggregat-Schadensersatz kann massiv sein (Bsp. Massen-Cookie-Banner-Verstoß für 100.000 Nutzer × 50 € = 5 Mio €)
+- Gerichts-Verbots-Anordnungen
+- Ggf. Kommunikations-/Veröffentlichungs-Pflicht des Urteils (analog DSGVO Art. 47)
+---
+## Praktische Klage-Beispiele 2024-2025
+- **vzbv vs. Mercedes-Benz Bank** (08/2024) — Zinsanpassungs-Klauseln
+- **vzbv vs. Klarna** (11/2024) — Cookie-/Tracking-Praxis
+- **vzbv vs. Amazon Prime** (2024) — Auto-Verlängerungs-Klauseln
+- **vzbv vs. Telekom** (1/2025) — Tarif-Anpassungs-Klauseln
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/EU-Verordnungen/RL-2020-1828/` — direkte EU-Norm
+- `references/gesetze/UWG/audit-relevance.md` § 8 (Anspruchsberechtigte) — UWG-Klage parallel möglich
+- `references/gesetze/UKlaG/` — Abmahn-Verfahren als Vorstufe
+- `references/audit-patterns.md` Phase 6 (Compliance-Doku-Audit-Surface)