npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/ZAG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,68 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: ZAG Audit-Relevance — PSD2-/SCA-Compliance, Acquiring, Open-Banking.
+---
+# ZAG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei Sites mit:
+- Eigenem Payment-Backend (NICHT durch Stripe/Adyen/Mollie als ZAG-Institut abgedeckt)
+- Acquiring-Funktion (Karten-Akzeptanz für Drittanbieter)
+- E-Geld-Issuance (Prepaid-Cards, FIAT-Stablecoins)
+- Klarna-/Sofort-/PISP-Funktion
+- Multi-Banking-App (AISP)
+- Crypto-Exchange mit FIAT-Onramp
+## Trigger im Code/UI
+- **Eigene Payment-API ohne PSP** → § 10 ZAG-Lizenz nötig
+- **Checkout ohne SCA / 3DS2** → § 53 + EBA-RTS-Verstoß
+- **Direkte Bank-Konto-Konnektion ohne XS2A-API** → § 54
+- **PSD2-„Screen Scraping"** statt API-Auth → § 54 Verstoß
+- **Fehlende Vorfall-Meldekette < 4h** → § 56
+- **Schwellenwert-Bypass für SCA** ohne Risk-Engine → § 53 + EBA-RTS
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Zahlungsdienste ohne Erlaubnis | § 10 + § 63 | Freiheitsstrafe bis 5 Jahre / Geldstrafe | § 63 ZAG |
+| Fahrlässige Variante | § 63 Abs. 3 | bis 3 Jahre | § 63 ZAG |
+| Sicherheitsvorfall-Meldung verfehlt | § 56 | bis 5 Mio € / 10 % Jahresumsatz | § 65 Abs. 4 ZAG |
+| SCA-Verstoß | § 53 | bis 5 Mio € / 10 % Jahresumsatz | § 65 Abs. 4 ZAG |
+| Open-Banking-Diskriminierung | § 54 | bis 5 Mio € / 10 % Jahresumsatz | § 65 Abs. 4 ZAG |
+## Top-Az. / Verwaltungs-Anker
+- **EuGH C-287/19 DenizBank** — SCA-Anwendungsbereich
+- **BaFin Bekanntmachung 02/2018** — PSD2-Auslegung „Zahlungsdienst"
+- **EBA RTS 2018/389** — technische Standards für SCA + sichere Kommunikation
+- **BaFin Hinweise 2025** — DORA-Implementierung als ergänzende Pflicht
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/Finance/KWG.md` für Krypto-Verwahrgeschäft-Abgrenzung
+- `references/gesetze/GwG/` für KYC-Pflichten (ZAG-Institute = GwG-Verpflichtete)
+- `references/gesetze/EU-Verordnungen/PSD2-2015-2366/` für direkte EU-Vorgaben (vor PSD3)
+- `references/gesetze/EU-Verordnungen/DORA-2022-2554/` für IT-Resilienz ab 17.01.2025
+- `references/gesetze/EU-Verordnungen/MiCA-2023-1114/` für E-Geld-Token (EMT)
+- `references/audit-patterns.md` Phase 5e für Checkout-/Payment-Surface
+## SCA-Implementierungs-Hilfe
+| Sektor | SCA-Pflicht | Ausnahme |
+|---|---|---|
+| E-Commerce-Checkout | 3DS2 / FIDO2 | < 30 € (LVT-Regel), Whitelist-Empfänger |
+| Banking-App-Login | Wissen + Besitz | — |
+| API-Zugang AISP/PISP | OAuth2 mit SCA-Layer | — |
+| Wiederkehrende Zahlung | initial SCA, dann Wegfall | Mandate-Modell |
+| Kontaktlos-Karten | < 50 € (max. 5x kumuliert) | — |
+PSP wie Stripe / Adyen / Mollie übernehmen SCA-Implementation — Operator-Pflicht: korrekte Übergabe + Behandlung der Auth-Resultate.
+## Hinweis PSD3 (Erwartet 2026/2027)
+PSD3 + PSR werden ZAG ablösen. Erweiterte SCA-Anforderungen, härtere Open-Banking-Klauseln, NPSP-Lizenz-Schwelle. Operator sollten ZAG-Compliance bereits als Vorbereitung MiCA + PSD3 ausrichten.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/ZAG/paragraphs.md ADDED Viewed

@@ -0,0 +1,110 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/zag_2018/
+last-checked: 2026-05-05
+purpose: ZAG (Zahlungsdiensteaufsichtsgesetz) — DE-Umsetzung PSD2 (RL 2015/2366); Erlaubnis für Zahlungsinstitute, SCA, Open-Banking-APIs.
+---
+# ZAG — Kern-Paragraphen
+> Zahlungsdiensteaufsichtsgesetz (ZAG), Stammgesetz 2018 (PSD2-Umsetzung).
+> Volltext: https://www.gesetze-im-internet.de/zag_2018/
+## § 1 — Begriffsbestimmungen
+**Wortlaut (Kern)**: Zahlungsdienste sind:
+- **Nr. 1a**: Dienste, die Bareinzahlungen auf Zahlungskonto ermöglichen,
+- **Nr. 1b**: Dienste, die Barabhebungen ermöglichen,
+- **Nr. 2**: Ausführung von Zahlungsvorgängen (Lastschrift, Überweisung, Karte) ohne Kreditgewährung,
+- **Nr. 3**: Ausführung mit Kreditgewährung,
+- **Nr. 4**: Ausgabe von Zahlungsinstrumenten + Acquiring (Karten-Akzeptanz),
+- **Nr. 5**: Finanztransfergeschäft (Geldüberweisung ohne Konto),
+- **Nr. 6**: Zahlungsauslösungsdienst (PISP, „Sofortüberweisung"-Modell),
+- **Nr. 7**: Kontoinformationsdienst (AISP, „Multi-Banking-App"-Modell).
+**Audit-Relevanz**: triggers ZAG-Pflicht bei jedem Payment-Flow, der nicht reine Bezahlung-zwischen-Käufer-und-Verkäufer ist. Acquiring (Stripe-Modell), PISP (Klarna-Sofort-Modell), AISP (Multi-Banking) brauchen ZAG-Erlaubnis.
+---
+## § 10 — Erlaubnispflicht
+**Wortlaut (Kern, Abs. 1)**: Wer als Zahlungsinstitut Zahlungsdienste erbringen will, bedarf der schriftlichen Erlaubnis der BaFin.
+**§ 10 Abs. 2 — Voraussetzungen**: Vergleichbar KWG § 32 — ausreichendes Anfangskapital (20k € bei reinem PISP/AISP, 125k € bei Geldtransfer, 350k € bei sonstigen Zahlungsdiensten), zwei zuverlässige Geschäftsleiter, geeignete Geschäftsorganisation.
+**Audit-Relevanz**: Stripe / Klarna / Mollie / Adyen sind ZAG-Institute (oft EU-passportiert aus IE/NL). Eigene Payment-Plattformen brauchen eigene Erlaubnis.
+---
+## § 11 — E-Geld-Institut
+**Wortlaut (Kern)**: Wer E-Geld ausgibt (z.B. PayPal-Modell, Prepaid-Karten, Stablecoins-mit-FIAT-Bindung), benötigt E-Geld-Institut-Erlaubnis (Anfangskapital 350k €).
+---
+## § 45 — Sicherheits-Anforderungen für Zahlungsdienstleister
+**Wortlaut (Kern)**: PSD2-Sicherheitsanforderungen — operative + IT-Sicherheit, Risikobewertung, Schwachstellen-Management, Vorfälle melden binnen Stunden.
+**Audit-Relevanz**: Cross-Ref DORA + § 25h KWG.
+---
+## § 53 — Verfahren für Sichere Authentifizierung der Zahlungsdienstnutzer
+**Wortlaut (Kern)**: Zahlungsdienstleister müssen bei
+- Online-Kontozugriff,
+- Auslösung elektronischer Zahlungs-Vorgänge,
+- Vornahme einer Handlung, die Missbrauchsrisiko birgt,
+**Strong Customer Authentication (SCA)** anwenden — d.h. mindestens zwei der drei Faktoren:
+- Wissen (Passwort, PIN),
+- Besitz (Gerät, Token),
+- Inhärenz (Biometrie).
+**Ausnahmen**: kontaktlose Zahlungen unter 50 €, Niedrigrisiko-Transaktionen, Whitelist-Begünstigte.
+**Audit-Relevanz**: zentral für E-Commerce-Checkouts. Stripe / Adyen / Mollie übernehmen SCA-Pflicht — Eigen-PSP muss 3DS2 / FIDO2 implementieren.
+---
+## § 54 — Open-Banking (PISP/AISP-Zugang)
+**Wortlaut (Kern)**: Banken müssen Drittanbietern (PISP/AISP mit ZAG-Lizenz oder EU-Passport) Zugang zu Konten gewähren über
+- dedizierte Schnittstellen (XS2A-Berlin-Group / NextGenPSD2-API),
+- mit sicherem Authentifizierungsprozess,
+- ohne Diskriminierung gegenüber eigener App.
+**Audit-Relevanz**: Banken-API-Compliance; Multi-Banking-Apps brauchen AISP-Lizenz.
+---
+## § 56 — Pflicht zur Anzeige operativer Sicherheits-Vorfälle
+**Wortlaut (Kern)**: Zahlungsdienstleister müssen schwerwiegende operationelle / sicherheitsbezogene Vorfälle unverzüglich BaFin melden — innerhalb 4 Stunden ab Bekanntwerden.
+**Audit-Relevanz**: parallel zu DORA Art. 19 (Major Incident Reporting binnen 4h) + GwG-Verdachtsmeldung.
+---
+## §§ 63–67 — Strafvorschriften
+### § 63 — Strafvorschriften
+**Wortlaut (Kern)**: Mit Freiheitsstrafe bis zu **fünf Jahren** oder mit Geldstrafe wird bestraft, wer ohne Erlaubnis nach § 10 Zahlungsdienste erbringt.
+**§ 63 Abs. 3**: Bei Fahrlässigkeit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.
+### § 64 — weitere Strafvorschriften
+Freiheitsstrafe bis zu einem Jahr für Verstöße gegen Berichts- und Anzeigepflichten.
+### § 65 — Bußgeldvorschriften
+Ordnungswidrig handelt, wer fahrlässig oder vorsätzlich gegen organisatorische, Sicherheits- oder Berichts-Pflichten verstößt.
+**§ 65 Abs. 4 — Bußgeld-Rahmen**:
+- Standardfall: bis **fünf Millionen Euro (5.000.000 €) oder 10 % Jahresumsatz**.
+- Bei natürlichen Personen: bis 5.000.000 €.
+**Audit-Relevanz**: parallel zu KWG-§-56 + GwG-§-56.

package/skills/compliance/aegis-native/brutaler-anwalt/references/dsgvo.md CHANGED Viewed

@@ -17,11 +17,13 @@
 - Ergänzt und konkretisiert die DSGVO im deutschen Recht
 - Besonders relevant: Beschäftigtendatenschutz (§ 26 BDSG), Videoüberwachung (§ 4 BDSG), Scoring (§ 31 BDSG)
-### TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)
-- **Volltext**: https://www.gesetze-im-internet.de/ttdsg/
-- Regelt Cookies und ähnliche Technologien (§ 25 TTDSG)
+### TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG)
+- **Volltext**: https://www.gesetze-im-internet.de/ttdsg/ (kanonischer URL bleibt der Legacy-Slug `/ttdsg/` — `/tdddg/` und `/tddg/` sind 404)
+- **Umbenennung**: Seit 14.05.2024 (DSA-Anpassungsgesetz) heisst das TTDSG **TDDDG** — Wortlaut des § 25 unveraendert.
+- Regelt Cookies und aehnliche Technologien (§ 25 TDDDG, vormals § 25 TTDSG)
 - Umsetzt ePrivacy-Richtlinie in nationales Recht
-- **Merksatz**: § 25 TTDSG gilt für den Zugriff auf Endgeräte (Cookies, Tracking), DSGVO gilt für die Verarbeitung der dabei erhobenen Daten
+- **Merksatz**: § 25 TDDDG gilt fuer den Zugriff auf Endgeraete (Cookies, Tracking), DSGVO gilt fuer die Verarbeitung der dabei erhobenen Daten
+- **Citation-Hinweis**: in aelteren Urteilen + Sekundaerliteratur noch "§ 25 TTDSG" — inhaltlich identisch mit "§ 25 TDDDG"
 ---
@@ -97,6 +99,59 @@
 ---
+## DSFA-Trigger-Liste (Art. 35 DSGVO) — post-V3.1-Audit 2026-05-01
+DSFA = Datenschutz-Folgenabschätzung. Pflicht wenn "voraussichtlich hohes Risiko" (Art. 35 Abs. 1) oder Verarbeitung gem. DSK-Whitelist 2018 / BayLDA-Hinweise. KMU-Privileg gilt **nicht** für DSFA (anders als für VVT Art. 30 Abs. 5).
+| Trigger | DSFA-Status |
+|---------|-------------|
+| KI-Chat / KI-Auswertung mit User-PII (auch indirekt: Halter ueber Tier-Profile) | empfohlen (Art. 35 Abs. 3 lit. a Profiling-Naehe) |
+| Public-User-PII-Listings (Vermisst, Marketplace, oeffentliches Profil) | empfohlen (Art. 35 Abs. 3 lit. b umfangreiche Verarbeitung) |
+| Auswertung Gesundheitsdaten (auch Tier-Gesundheit + Halter-Daten kombiniert) | empfohlen |
+| Aggregation aus 3+ Auftragsverarbeitern in einem Profil | empfohlen |
+| Geo-Standort-Tracking | empfohlen |
+| Automatisierte Entscheidungen (Art. 22 DSGVO) | **Pflicht** |
+| Besondere Kategorien Art. 9 (auch nur Halter-Allergien beim Kontaktformular) | **Pflicht** |
+Bei Match → DSFA-Doc als interne Doku anlegen (Vorlage: BayLDA-Hinweise zur DSFA + DSK-Whitelist 2018). Beispiel-Template: siehe `references/templates/DSFA-template.md`.
+## VVT (Verzeichnis Verarbeitungstätigkeiten, Art. 30 DSGVO) — KMU-Best-Practice
+Pflicht-Status: Verantwortlicher mit ≥ 250 MA ODER regelmäßige Verarbeitung sensibler Daten ODER hohes Risiko. KMU-Privileg Art. 30 Abs. 5 → < 250 MA mit gelegentlicher Verarbeitung ohne Sonderkategorien sind nicht VVT-pflichtig.
+Best-Practice trotzdem: BayLDA empfiehlt VVT auch fuer KMU zur Erfuellung Rechenschaftspflicht Art. 5 Abs. 2.
+Mindestinhalt pro Verarbeitungstätigkeit: Zweck / Rechtsgrundlage / Datenkategorien / Empfaenger / Drittland-Status / Speicherdauer / TOMs.
+Beispiel-Template: siehe `references/templates/VVT-template.md`.
+### VVT-Trigger-Pattern bei neuen Verarbeitungstätigkeiten (V4-Pattern, post-File-Upload-Sprint 2026-05-03)
+VVT ist nicht statisches Doc — es ist Living-Doc das bei jeder neuen
+Verarbeitungstätigkeit inkrementell wachsen MUSS, auch unter KMU-Privileg.
+BayLDA-Aufsichtspraxis: bei Datenpanne wird fehlende VVT auch bei < 250 MA
+als „Erschwerungsgrund" gewertet (Art. 83 Abs. 2 lit. h: bisheriges Verhalten).
+**Auslöser für VVT-Update (nicht-erschöpfend):**
+| Auslöser | Beispiele | VVT-Sektion betroffen |
+|----------|-----------|----------------------|
+| Neue Datenkategorie im Funnel | Konfigurator akzeptiert plötzlich Bilder-Bytes (vorher nur Filenames) | Datenkategorien + TOMs |
+| Neuer Auftragsverarbeiter aktiviert | SMTP-Provider-Wechsel, neuer CDN, neuer KI-Vendor | Empfänger + Drittland-Status |
+| Neuer Speicher-Pfad/-Backend | Object-Storage-Migration, Database-Provider-Wechsel | TOMs + Speicherdauer |
+| Neue Aufbewahrungsfrist | Retention-Cron geändert (180→90 Tage) | Speicherdauer |
+| Neue Rechtsgrundlage genutzt | Wechsel von Art. 6 lit. b auf lit. f (mit Interessenabwägung) | Rechtsgrundlage |
+| Neuer Empfänger-Kreis | Operator-Mail wird auch an externen Berater gespiegelt | Empfänger |
+| Neues TOM-Element | Server-side Sanitizer / WAF-Regel / DLP-Filter | TOMs |
+**Operativer Workflow (Pre-Deploy-Gate-Empfehlung):**
+1. Bei Code-Change der eine der Auslöser triggert: Pull-Request enthaelt Hinweis „VVT-Update erforderlich"
+2. VVT wird inkrementell ergaenzt (kein Total-Re-Write — neuer Eintrag oder bestehender erweitert)
+3. Pre-Deploy-Gate: VVT-Datei-Modtime juenger als CHANGELOG-Modtime, sonst Deploy-Block
+**Spezial-Templates**:
+- `references/templates/VVT-template-file-upload.md` — fuer Direct-File-Upload-Verarbeitungen mit Art. 9-Bewertung + TOMs-Inventar.
 ## Bußgeldrahmen (Art. 83 DSGVO)
 ### Stufe 1 — bis 10 Mio. € oder 2% Jahresumsatz (der höhere Betrag)
@@ -107,6 +162,23 @@
 **Wichtig**: Bei kleinen Unternehmen und KMU tendieren Behörden zu niedrigeren Bußgeldern; Kooperation und schnelle Abhilfe können strafmildernd wirken.
+### Häufige Verstoesse bei Art-9-Verarbeitung (V4-Pattern, post-Art-9-Workflow-Audit 2026-05-03)
+| Verstoss | Norm | Stufe | €-Range typisch (KMU) |
+|----------|------|-------|------------------------|
+| Art-9-Daten ohne ausdrueckliche Einwilligung erhoben | Art. 9 Abs. 1 + 2 lit. a | Stufe 2 (bis 20 Mio / 4%) | 15.000-80.000 |
+| Beweispflicht Einwilligung nicht erfuellt (kein Tablet-Sig + kein Papier-Scan) | Art. 7 Abs. 1 | Stufe 2 | 5.000-50.000 |
+| § 22 BDSG falsch berufen (kein Berufsgeheimnistraeger) | § 22 BDSG + Art. 9 | Stufe 2 | 5.000-30.000 |
+| DSFA fehlt bei Art-9 | Art. 35 Abs. 3 lit. b | Stufe 1 (bis 10 Mio / 2%) | 10.000-50.000 |
+| Audit-Log fuer Lese-Zugriff fehlt | Art. 5 Abs. 2 | Stufe 1 | 5.000-25.000 |
+| Aufbewahrungsfrist zu kurz (Schaden nicht beweisbar) | § 280 BGB Beweisproblem | Schadensersatz § 82 | individuell |
+| Health-Snapshot in audit_log bei DELETE | Art. 17 + Art. 5 Abs. 1 lit. e | Stufe 2 | 10.000-40.000 |
+| AAD-Binding fehlt (Block-Swap-Angriff moeglich) | Art. 32 + Art. 25 | Stufe 1 | 5.000-25.000 |
+**Cross-Risiko**: 3+ dieser Verstoesse in einem Verfahren = Synthesizer-Aufschlag um Faktor 1.5-2 (Behoerde wertet als systemisches Compliance-Versagen).
+> Audit-Pattern fuer diese Verstoss-Klasse: siehe `references/audit-patterns.md` Phase 5h (Art-9-Beweis-Workflow-Audit).
 ---
 ## Deutsche Aufsichtsbehörden
@@ -182,7 +254,7 @@
 |---------|---------|--------------|
 | Kein AVV mit Cloud-Anbieter | Art. 28 | Stufe 1 |
 | Keine Rechtsgrundlage für Verarbeitung | Art. 6 | Stufe 2 |
-| Tracking ohne Einwilligung (§ 25 TTDSG) | § 25 TTDSG + Art. 6 | Stufe 2 |
+| Tracking ohne Einwilligung (§ 25 TDDDG) | § 25 TDDDG + Art. 6 | Stufe 2 |
 | Datenpanne nicht gemeldet | Art. 33 | Stufe 1 |
 | Auskunftsanfrage ignoriert | Art. 15 | Stufe 2 |
 | Keine DSFA bei Hochrisikoverarbeitung | Art. 35 | Stufe 1 |
@@ -209,11 +281,12 @@
 ---
-## Cookie-Consent (§ 25 TTDSG)
+## Cookie-Consent (§ 25 TDDDG, vormals § 25 TTDSG)
 ### Regelung
-- **§ 25 Abs. 1 TTDSG**: Einwilligung erforderlich für Zugriff auf Endgerät-Informationen (Cookies, Pixel, Fingerprinting)
-- **§ 25 Abs. 2 TTDSG**: Ausnahme für technisch notwendige Cookies (keine Einwilligung nötig)
+- **§ 25 Abs. 1 TDDDG**: Einwilligung erforderlich für Zugriff auf Endgerät-Informationen (Cookies, Pixel, Fingerprinting)
+- **§ 25 Abs. 2 TDDDG**: Ausnahme für technisch notwendige Cookies (keine Einwilligung nötig)
+- **Hinweis**: TTDSG wurde zum 14.05.2024 in TDDDG umbenannt. § 25 inhaltlich unveraendert. Aeltere Urteile + Sekundaerliteratur noch "§ 25 TTDSG" — gleicher Norm-Inhalt.
 ### Anforderungen an gültigen Consent
 - Informiert: Nutzer muss wissen, wer, warum, was speichert