@aegis-scan/skills 0.4.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/eu-eugh-dsgvo-schadensersatz.md

@@ -0,0 +1,223 @@
+# EuGH-DSGVO-Schadensersatz-Linie — Skill-Reference v1.0
+
+> Stand: 2026-05-05 · 24 verifizierte EuGH-Urteile zu Art. 82 DSGVO + DSGVO-Compliance-Anwendung (Tier-1: 11 + Tier-2: 13). 1 Az. (C-687/23) als NOT_VERIFIED gefuehrt.
+> Provenance-discipline: jeder Eintrag mit Primaerquelle (curia.europa.eu / EUR-Lex) plus mind. 1 Sekundaerquelle (dejure / NWB / Anwalts-Kanzlei). Verifikation via WebSearch+Sekundaerquellen-Cross-Check (curia.europa.eu InfoCuria selbst war 2026-05-05 via WebFetch 403-blockiert — daher `[secondary-source-verified]` durchgehend).
+> Generiert fuer brutaler-anwalt v5.0.0 Max-Out (Phase 2.1).
+
+> **Source-Pflicht**: jeder Eintrag enthaelt Az., Datum, Tenor-Kern, Anwendungs-Pattern und mind. 1 Primaerquelle (curia.europa.eu) oder 2 Sekundaerquellen. Eintraege ohne ausreichende Verifikation werden im Abschnitt `NOT_VERIFIED` gefuehrt und nicht im Skill-Output zitiert.
+
+> **Az.-Konvention**: alle Aktenzeichen im EuGH-Format `C-NNN/YY`.
+
+---
+
+## Inhalt
+
+### Tier-1 — Schadensersatz-Grundlinie (must-cite-Standard)
+
+1. C-300/21 — Oesterreichische Post (04.05.2023)
+2. C-340/21 — Natsionalna agentsia za prihodite (14.12.2023)
+3. C-456/22 — Gemeinde Ummendorf (14.12.2023)
+4. C-687/21 — Saturn / MediaMarktSaturn (25.01.2024)
+5. C-26/22 — SCHUFA-Scoring (07.12.2023)
+6. C-634/21 — SCHUFA Restschuldbefreiung (07.12.2023)
+7. C-21/23 — Lindenapotheke (04.10.2024)
+8. C-590/22 — PS GbR (11.04.2024)
+9. C-446/21 — Schrems vs. Meta (04.10.2024)
+10. C-65/23 — MK gegen K GmbH (19.12.2024)
+11. C-394/23 — Mousse / SNCF Connect (09.01.2025)
+
+### Tier-2 — Vertiefungs-Linie
+
+12. C-182/22 + C-189/22 — Scalable Capital (20.06.2024)
+13. C-200/23 — Agentsia po vpisvaniyata (04.10.2024)
+14. C-757/22 — Meta Platforms / Verbandsklage (11.07.2024)
+15. C-61/22 — RL gg. Landeshauptstadt Wiesbaden (21.03.2024)
+16. C-740/22 — Endemol Shine Finland (07.03.2024)
+17. C-118/22 — Direktor na Glavna direktsia (30.01.2024)
+18. C-548/21 — Bezirkshauptmannschaft Landeck (04.10.2024)
+19. C-17/22 + C-18/22 — HTB Neunte Immobilien (12.09.2024)
+20. C-621/22 — KNLTB / Tennisbond (04.10.2024)
+21. C-741/21 — juris GmbH (11.04.2024)
+22. C-479/22 P — OC / OLAF (11.07.2024)
+23. C-768/21 — Hessischer Datenschutzbeauftragter (26.09.2024)
+24. C-807/21 — Deutsche Wohnen (05.12.2023) — CRITICAL fuer Bussgeld-Argumentation
+25. ~~C-687/23 — Verzeichnis-Verarbeitung (2025)~~ → siehe NOT_VERIFIED
+
+---
+
+## Tier-1 — Schadensersatz-Grundlinie (must-cite-Standard)
+
+### EuGH — C-300/21 UI gg. Oesterreichische Post AG (04.05.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Der **blosse Verstoss** gegen die DSGVO begruendet **keinen** Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Erforderlich ist (1) Verstoss, (2) Schaden, (3) Kausalzusammenhang. Aber: **keine Erheblichkeitsschwelle** — auch Bagatell-Schaden ist ersatzfaehig, sofern konkret nachgewiesen. Nationale Rechtspraktiken, die Schadensersatz von einem "gewissen Schweregrad" abhaengig machen, sind **unionsrechtswidrig**.
+- **Anwendung (Skill-Pattern)**: Mandant berichtet Aerger/Sorge wegen DSGVO-Verstoss → drei Tatbestandsvoraussetzungen pruefen (Verstoss + konkreter Schaden + Kausalitaet). Konkreter Schaden ist **darzulegen** (nicht nur "Empoerung"), aber an die Schwere keine Mindestanforderung. Im Audit-Memo: jede Praxis, die Bagatellschwelle einbaut (z.B. "nur ab 500 EUR"), ist nicht haltbar.
+- **Source**: [curia.europa.eu C-300/21](https://curia.europa.eu/juris/liste.jsf?language=de&num=C-300%2F21) · [EUR-Lex 62021CJ0300](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0300) · [dejure.org EuGH 04.05.2023 C-300/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=04.05.2023&Aktenzeichen=C-300%2F21)
+
+### EuGH — C-340/21 VB gg. Natsionalna agentsia za prihodite (14.12.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Bei Datenleck (hier: Cyber-Angriff auf bulgarische Steuerbehoerde, ~6 Mio. Betroffene) kann allein die **Befuerchtung des Missbrauchs** kuenftig durch Dritte einen ersatzfaehigen immateriellen Schaden i.S.v. Art. 82 DSGVO begruenden. Beweislast fuer Angemessenheit der TOMs nach Art. 24, 32 DSGVO liegt beim Verantwortlichen (faktische Beweislastumkehr). Unbefugter Zugriff durch Dritte fuehrt nicht automatisch dazu, dass TOMs unangemessen waren — aber Verantwortlicher muss aktiv darlegen.
+- **Anwendung (Skill-Pattern)**: Bei Datenpannen-Memo: (1) auf Befuerchtungs-Schaden hinweisen (kein realer Missbrauch noetig); (2) Verantwortlicher muss TOMs-Angemessenheit beweisen — Audit-Logs, Pen-Tests, ISO-27001-Nachweise sammeln. Bei Skill-Output zu Mandant-Datenpanne: "Befuerchtungs-Schaden ist DSGVO-Standard, nicht Theorie".
+- **Source**: [curia.europa.eu C-340/21](https://curia.europa.eu/juris/liste.jsf?num=C-340%2F21) · [EUR-Lex 62021CJ0340](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62021CJ0340) · [GDPRhub C-340/21](https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91340/21_-_Natsionalna_agentsia_za_prihodite)
+
+### EuGH — C-456/22 VX, AT gg. Gemeinde Ummendorf (14.12.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Art. 82 DSGVO setzt **keine** "de minimis"-Schwelle voraus. Auch der **kurzfristige Kontrollverlust** ueber personenbezogene Daten (hier: Veroeffentlichung von Name + Adresse fuer 3 Tage auf Gemeindewebsite ohne Einwilligung) kann immateriellen Schaden begruenden. Aber: blosser Verstoss reicht weiterhin nicht — Schaden ist **konkret** zu beweisen. Keine Anforderungen an Wahrnehmbarkeit/Objektivitaet des Schadens.
+- **Anwendung (Skill-Pattern)**: Audit findet "kurze Veroeffentlichung" (z.B. Doxxing 24h, dann geloescht) → Schadensersatz weiterhin moeglich, weil Bagatellschwelle abgelehnt. Im Memo: "EuGH C-456/22 hat ausdruecklich klargestellt, dass Veroeffentlichungs-Dauer irrelevant fuer den Anspruch ist — relevant nur fuer die Hoehe".
+- **Source**: [curia.europa.eu C-456/22](https://curia.europa.eu/juris/document/document.jsf?docid=280630&pageIndex=0&doclang=DE) · [dejure.org EuGH 14.12.2023 C-456/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=14.12.2023&Aktenzeichen=C-456/22) · [Taylor Wessing — C-340/21 + C-456/22](https://www.taylorwessing.com/en/insights-and-events/insights/2023/12/c-340-21-c-456-22)
+
+### EuGH — C-687/21 BL gg. MediaMarktSaturn (25.01.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Versehentliche Weitergabe personenbezogener Daten an unbefugten Dritten (hier: Kassenbon mit Kreditdokument an falschen Kunden ueber Saturn-Filiale) — nicht jede Befuerchtung loest Schadensersatz aus. Erforderlich ist **begruendete** (nicht rein hypothetische) Befuerchtung des Missbrauchs durch Dritte. Beweislast fuer Schaden traegt Anspruchsteller, nicht der Verantwortliche.
+- **Anwendung (Skill-Pattern)**: Bei punktueller Datenweitergabe ans falsche Postfach / falschen Kunden: Praezisierung der Befuerchtung ist die Crux — abstrakt "irgendjemand koennte die Daten kopieren" reicht nicht. Konkret darlegen: Welche Daten? Welcher Empfaenger? Welche realistische Missbrauchs-Szenarien? Im Skill-Output: zwischen C-340/21 (begruendete Befuerchtung wegen Cyberangriff = ja) und C-687/21 (rein hypothetisch = nein) abgrenzen.
+- **Source**: [curia.europa.eu C-687/21](https://curia.europa.eu/juris/document/document.jsf?docid=282202) · [EUR-Lex 62021CJ0687](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0687) · [dejure.org EuGH 25.01.2024 C-687/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=25.01.2024&Aktenzeichen=C-687/21) · [WBS-Legal — C-687/21](https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/eugh-zu-mediamarkt-ungutes-gefuehl-kann-weiterhin-schadensersatz-ausloesen-72468/)
+
+### EuGH — C-26/22 + C-64/22 SCHUFA Holding (Scoring) (07.12.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Die automatisierte Erstellung eines **Wahrscheinlichkeitswerts** durch eine Wirtschaftsauskunftei (SCHUFA-Score) zur Zahlungsfaehigkeit einer Person stellt eine "automatisierte Entscheidung im Einzelfall" i.S.v. Art. 22 Abs. 1 DSGVO dar, **wenn** die Entscheidung Dritter (z.B. Bank ueber Kreditvergabe) **massgeblich** von diesem Wert abhaengt. Damit grundsaetzlich verboten — Ausnahmen nach Art. 22 Abs. 2 DSGVO (Vertrag, Einwilligung, Mitgliedstaaten-Recht) noetig.
+- **Anwendung (Skill-Pattern)**: Jede Plattform mit eigenem Scoring (Bonity, Credit-Risk, Fraud-Score) der "wesentlich" in Drittentscheidungen einfliesst → Art. 22 DSGVO greift. Audit-Punkt: Existiert Rechtsgrundlage fuer automatisierte Entscheidung? Existiert Recht auf menschliches Eingreifen + Standpunkt-Aeusserung + Anfechtung (Art. 22 Abs. 3 DSGVO)? KI-basierte Entscheidungssysteme (Mietfaehigkeit, Versicherungstarife, AI-Hiring) muessen sich daran messen lassen.
+- **Source**: [curia.europa.eu C-634/21 (verbundene Sache)](https://curia.europa.eu/juris/document/document.jsf?docid=280426&pageIndex=0&doclang=DE) · [LTO — SCHUFA-Scoring](https://www.lto.de/recht/kanzleien-unternehmen/k/eugh-entscheidung-urteil-c63421-c2622-c6422-bonitaet-score-zahlungsprognose-vorlage-vg-wiesbaden-schufa) · [dejure.org C-26/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-26/22)
+
+### EuGH — C-634/21 OQ gg. SCHUFA Holding (Restschuldbefreiung) (07.12.2023) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Die laengere Speicherung von Daten zur erteilten Restschuldbefreiung durch private Wirtschaftsauskunfteien als im oeffentlichen Insolvenzregister (dort: 6 Monate) ist **DSGVO-widrig**. Nach Ablauf der oeffentlichen Speicherfrist haben Betroffene ein Recht auf sofortige Loeschung (Art. 17 DSGVO).
+- **Anwendung (Skill-Pattern)**: Mandant mit erteilter Restschuldbefreiung, dessen Score-Negativeintrag laenger als 6 Monate weiter gefuehrt wird → unmittelbarer Loeschungsanspruch + Schadensersatz fuer Kontrollverlust. Audit-Pattern fuer FinTech/Bonitaets-APIs: speichert die Plattform Insolvenz-Daten laenger als oeffentliche Frist? Compliance-Verstoss + DSGVO-Schadensersatz nach Art. 82.
+- **Source**: [curia.europa.eu C-634/21](https://curia.europa.eu/juris/liste.jsf?language=de&td=ALL&num=C-634%2F21) · [EUR-Lex 62021CJ0634](https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:62021CJ0634) · [NWB C-634/21](https://datenbank.nwb.de/Dokument/1036368/) · [dejure.org C-634/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-634%2F21)
+
+### EuGH — C-21/23 ND gg. DR (Lindenapotheke) (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Mitgliedstaaten duerfen **Mitbewerbern** die Befugnis einraeumen, DSGVO-Verstoesse als unlautere Geschaeftspraxis (UWG) vor Zivilgerichten zu verfolgen — DSGVO Kapitel VIII steht dem nicht entgegen. (2) Daten, die bei Online-Bestellung apothekenpflichtiger Medikamente angegeben werden (Name, Lieferadresse, Medikament-Identifikation) sind **Gesundheitsdaten** i.S.v. Art. 9 DSGVO — auch wenn das Medikament nicht-rezeptpflichtig ist und der Besteller nicht der Patient ist.
+- **Anwendung (Skill-Pattern)**: (1) UWG-Mitbewerber-Klagen wegen DSGVO-Verstoss sind in Deutschland zulaessig — Plattformen muessen mit Konkurrenz-Klagen rechnen, nicht nur Aufsichtsbehoerden-Bussgeld. (2) Telemedizin/E-Health/Online-Apotheken: jede Daten-Erhebung im Bestellkontext ist Gesundheitsdaten-Verarbeitung — strengere Rechtsgrundlage (Art. 9 Abs. 2 DSGVO, idR explizite Einwilligung) erforderlich.
+- **Source**: [curia.europa.eu C-21/23](https://curia.europa.eu/juris/document/document.jsf?text=&docid=290696&doclang=DE) · [curia.europa.eu PM cp240159de](https://curia.europa.eu/site/upload/docs/application/pdf/2024-10/cp240159de.pdf) · [Taylor Wessing — Lindenapotheke](https://www.taylorwessing.com/en/insights-and-events/insights/2024/10/ecj-lindenapotheke)
+
+### EuGH — C-590/22 AT, BT gg. PS GbR (20.06.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (Korrigierte Datierung: 20.06.2024, nicht 11.04.2024.) (1) Verstoss allein begruendet keinen Anspruch — Schaden + Kausalitaet noetig. (2) **Keine Erheblichkeitsschwelle** (Bestaetigung von C-300/21). (3) Bei der **Hoehe** des Schadensersatzes nach Art. 82 DSGVO sind **Bussgeld-Bemessungskriterien (Art. 83 DSGVO) NICHT** anwendbar — Schadensersatz hat reine **Kompensationsfunktion**, keine Abschreckungs- oder Strafzweck. Bemessung orientiert sich an konkreten Auswirkungen fuer den Betroffenen.
+- **Anwendung (Skill-Pattern)**: Bei Schadensersatz-Memo: NICHT mit Bussgeld-Hoehen argumentieren ("Aufsichtsbehoerde haette 100k verhaengt → also 5k Schadensersatz") — der EuGH lehnt diese Bemessungs-Logik ab. Stattdessen: konkrete Auswirkungen fuer den Mandanten herausarbeiten (Aerger-Dauer, Daten-Sensitivitaet, Wiederholbarkeit, Kontrollverlust-Tiefe).
+- **Source**: [curia.europa.eu C-590/22](https://curia.europa.eu/juris/document/document.jsf?text=&docid=287305&pageIndex=0&doclang=DE) · [NWB C-590/22](https://datenbank.nwb.de/Dokument/1066307/) · [dejure.org EuGH 20.06.2024 C-590/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=20.06.2024&Aktenzeichen=C-590/22)
+
+### EuGH — C-446/21 Schrems gg. Meta Platforms Ireland (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) **Datenminimierungs-Grundsatz** (Art. 5 Abs. 1 lit. c DSGVO) verbietet die zeitlich unbegrenzte und undifferenzierte Verarbeitung **aller** personenbezogenen Daten fuer personalisierte Werbung. (2) Art. 9 Abs. 2 lit. e DSGVO ("offensichtlich oeffentlich gemachte sensible Daten"): Wenn ein Betroffener seine sexuelle Orientierung in einer oeffentlichen Podiumsdiskussion offenbart, **erlaubt das nicht** der Plattform, **andere** sensible Daten desselben Betroffenen aus anderen Quellen ohne Einwilligung zu verarbeiten. Die Ausnahme greift nur fuer **die konkret oeffentlich gemachte Tatsache**.
+- **Anwendung (Skill-Pattern)**: Werbe-/Profiling-Audits: Daten-Aggregation aus mehreren Quellen ist Datenminimierungs-Verstoss, wenn keine zeitliche/sachliche Begrenzung. Art. 9-Falle: NICHT pauschal "Nutzer hat selbst gepostet" als Rechtsgrundlage — die Ausnahme ist eng. Im Memo: Datenminimierungs-Pruefung muss **zwei** Stufen umfassen: zeitlich (Loeschfristen) + sachlich (Datenkategorien).
+- **Source**: [curia.europa.eu C-446/21](https://curia.europa.eu/juris/document/document.jsf?docid=290674&pageIndex=0&doclang=DE) · [EUR-Lex 62021CJ0446](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0446) · [LTO — Schrems vs Meta](https://www.lto.de/recht/nachrichten/n/c-446/21-eugh-zu-personalisierter-werbung-maximilian-schrems)
+
+### EuGH — C-65/23 MK gg. K GmbH (19.12.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Eine nationale Vorschrift / **Betriebsvereinbarung** (Kollektivvereinbarung) nach Art. 88 Abs. 1 DSGVO zur Verarbeitung von Beschaeftigtendaten muss **kumulativ** den Vorgaben aus Art. 88 Abs. 2 DSGVO **UND** Art. 5, 6 Abs. 1, 9 Abs. 1 + 2 DSGVO genuegen. (2) Der Beurteilungsspielraum der Tarifpartner zur Frage der "Erforderlichkeit" einer Datenverarbeitung **entbindet** das nationale Gericht **nicht** von einer **vollstaendigen** Pruefung am DSGVO-Massstab.
+- **Anwendung (Skill-Pattern)**: Beschaeftigten-Tools (Workday, HRIS, Workforce-Analytics, Mitarbeiter-Monitoring) — Berufung auf Betriebsvereinbarung als Rechtsgrundlage ist keine Schutzschicht. Audit-Pattern: jede BV mit weiter "Datenverarbeitungs-Klausel" ist potentiell unwirksam — gerichtliche Pruefung ist voll, nicht reduziert. Bei Mandant-Memo: BV-basierte Verarbeitungen explizit am Erforderlichkeits-Massstab pruefen.
+- **Source**: [curia.europa.eu C-65/23](https://curia.europa.eu/juris/liste.jsf?language=de&num=C-65%2F23) · [NWB C-65/23](https://datenbank.nwb.de/Dokument/1067732/) · [dejure.org EuGH 19.12.2024 C-65/23](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=19.12.2024&Aktenzeichen=C-65/23)
+
+### EuGH — C-394/23 Mousse gg. CNIL + SNCF Connect (09.01.2025) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Pflichtangabe der **Anrede** ("Herr"/"Frau") beim Online-Ticketkauf ist **nicht erforderlich** im Sinne des Datenminimierungs-Grundsatzes (Art. 5 Abs. 1 lit. c DSGVO) und **weder** zur Vertragserfuellung (Art. 6 Abs. 1 lit. b) **noch** zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f) gerechtfertigt — auch nicht zur "Personalisierung der Geschaeftskommunikation". Geschlechts-Identitaet ist kein notwendiger Vertragsbestandteil.
+- **Anwendung (Skill-Pattern)**: Sign-Up-Forms / Bestell-Formulare auditieren: jedes Pflichtfeld pruefen — was ist sachlich noetig? Anrede, Geschlecht, Geburtstag (ausser bei Altersnachweis-Pflicht) sind regelmaessig **nicht erforderlich**. Pattern fuers Memo: "Personalisierung der Anrede" ist KEIN berechtigtes Interesse — EuGH C-394/23 explizit. Newsletter / Onboarding-Flows entsprechend abspecken.
+- **Source**: [curia.europa.eu C-394/23 PM cp250002en](https://curia.europa.eu/site/upload/docs/application/pdf/2025-01/cp250002en.pdf) · [EUR-Lex 62023CJ0394](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62023CJ0394) · [dejure.org EuGH 09.01.2025 C-394/23](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=09.01.2025&Aktenzeichen=C-394/23)
+
+---
+
+## Tier-2 — Vertiefungs-Linie
+
+### EuGH — C-182/22 + C-189/22 JU + SO gg. Scalable Capital (20.06.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Der Begriff **"Identitaetsdiebstahl"** in Erwaegungsgrund 75 + 85 DSGVO setzt voraus, dass ein Dritter die Identitaet einer Person **tatsaechlich annimmt**. Aber: Der Schadensersatz fuer immateriellen Schaden nach Art. 82 ist **nicht** auf Faelle beschraenkt, in denen ein Identitaetsdiebstahl/Betrug folgte. (2) Immaterieller Schaden durch DSGVO-Verstoss ist **nicht systemisch weniger schwer** als koerperlicher Schaden — voller Ausgleich erforderlich.
+- **Anwendung (Skill-Pattern)**: Bei Trading-App / FinTech-Datenleck: blosse "Befuerchtung des Missbrauchs" reicht (vgl. C-340/21), echter Identitaetsdiebstahl ist nicht erforderlich. Aber: Begriff "Identitaetsdiebstahl" eng auslegen — nicht jeder Datenverlust = ID-Theft. Im Memo: kategorisches Differenzieren zwischen "Datenverlust mit Befuerchtungs-Schaden" (alle Faelle) und "Identitaetsdiebstahl" (nur bei tatsaechlicher Uebernahme).
+- **Source**: [curia.europa.eu C-182/22 + C-189/22](https://curia.europa.eu/juris/liste.jsf?language=de&num=C-182%2F22) · [dejure.org EuGH 20.06.2024 C-182/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=20.06.2024&Aktenzeichen=C-182/22) · [otto-schmidt — Scalable Capital](https://www.otto-schmidt.de/news/wirtschaftsrecht/scalable-capital-trading-app-schadensersatz-fur-diebstahl-der-hinterlegten-personlichen-daten-2024-06-24.html)
+
+### EuGH — C-200/23 Agentsia po vpisvaniyata gg. OL (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Betreiber oeffentlicher Register (Handelsregister) sind **Verantwortliche** i.S.d. Art. 4 Nr. 7 DSGVO fuer die im Register enthaltenen personenbezogenen Daten. (2) Daten im oeffentlichen Register sind zu **minimieren** und nur dann offenzulegen, wenn gesetzlich erforderlich. (3) Auch ohne **greifbare nachteilige Folgen** kann der Kontrollverlust ueber Daten immateriellen Schaden begruenden — Schaden muss konkret nachgewiesen sein, aber kann minimal sein.
+- **Anwendung (Skill-Pattern)**: Plattform-Betreiber, die oeffentliche Register-Daten weiterverarbeiten (LegalTech, Compliance-APIs, KYC-Loesungen) — sind selbst Verantwortliche, nicht nur Empfaenger. Audit-Pattern: Datenminimierung beim Register-Pull (nicht "alle Felder", sondern was gesetzlich gedeckt ist) + DSE/Loeschkonzepte.
+- **Source**: [curia.europa.eu C-200/23](https://curia.europa.eu/juris/liste.jsf?num=C-200/23) · [EUR-Lex 62023CJ0200](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62023CJ0200) · [NWB C-200/23](https://datenbank.nwb.de/Dokument/1066910/)
+
+### EuGH — C-757/22 Meta Platforms Ireland gg. Bundesverband der Verbraucherzentralen (11.07.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Verstoesse gegen Informationspflichten nach Art. 12 + 13 DSGVO koennen Gegenstand einer **Verbandsklage** nach Art. 80 Abs. 2 DSGVO i.V.m. § 3 UKlaG / § 8 UWG sein. Verbraucherschutzverbaende koennen ohne Mandat einzelner Betroffener klagen.
+- **Anwendung (Skill-Pattern)**: Plattformen mit unklarer Datenschutzerklaerung / fehlender Art-13-Information am Sign-Up muessen mit Verbandsklagen rechnen — nicht nur DSGVO-Bussgeld + Mitbewerber-UWG (vgl. C-21/23). Im Memo bei Plattform-Mandanten: Triple-Risiko-Argument (Aufsichtsbehoerde + Mitbewerber + Verbandsklage).
+- **Source**: [curia.europa.eu C-757/22](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0757) · [dejure.org EuGH 11.07.2024 C-757/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=11.07.2024&Aktenzeichen=C-757/22) · [Taylor Wessing — C-757/22](https://www.taylorwessing.com/en/insights-and-events/insights/2024/07/urteil-des-eugh-in-der-rechtssache-c75722)
+
+### EuGH — C-61/22 RL gg. Landeshauptstadt Wiesbaden (21.03.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Die Pflicht zur Aufnahme von zwei **Fingerabdruecken** in nationalen Personalausweisen (VO 2019/1157) ist mit Art. 7 + Art. 8 Grundrechte-Charta vereinbar. (2) Aber: Die VO 2019/1157 ist wegen **Wahl der falschen Rechtsgrundlage** (Art. 21 Abs. 2 AEUV statt Art. 77 Abs. 3 AEUV — ordentliches statt besonderes Gesetzgebungsverfahren) **ungueltig**. Effekte aufrechterhalten bis spaetestens 31.12.2026.
+- **Anwendung (Skill-Pattern)**: Biometrische Daten-Verarbeitung mit Bezug auf den Personalausweis ist legitim, aber regulierungsbasiert — fuer **andere** biometrische Verarbeitungen (Mitarbeiter-Zeit-Erfassung, Login, Smart-City) gelten die strengen Massstaebe von Art. 9 DSGVO. Im Audit: VO-2019/1157-Anwendungen abgrenzen von Eigen-Verarbeitung biometrischer Daten.
+- **Source**: [curia.europa.eu C-61/22](https://curia.europa.eu/juris/liste.jsf?num=C-61/22) · [dejure.org EuGH 21.03.2024 C-61/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=21.03.2024&Aktenzeichen=C-61/22) · [verwaltungsgerichtsbarkeit.hessen — C-61/22](https://verwaltungsgerichtsbarkeit.hessen.de/presse/fingerabdruckpflicht-in-personalausweisen-rechtmaessig)
+
+### EuGH — C-740/22 Endemol Shine Finland Oy (07.03.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Die **muendliche** Weitergabe von Informationen ueber strafrechtliche Verurteilungen einer natuerlichen Person an eine Privatperson/Unternehmen stellt eine **Verarbeitung** i.S.v. Art. 4 Nr. 2 DSGVO dar. (2) Die Bekanntgabe von Strafdaten an jeden, der sie ohne Nachweis eines spezifischen Interesses verlangt, ist mit der DSGVO **nicht vereinbar**.
+- **Anwendung (Skill-Pattern)**: Telefonische Auskunfts-Anfragen / Mitarbeiter-Calls mit personenbezogenen Daten = Verarbeitung — DSGVO greift voll. Wichtig fuer Audit-Pattern bei Hotline-Operations / Telephone-Sales / Mitarbeiter-Briefings: muendliche Datenweitergabe ist NICHT informell-frei. Im Memo: jede Hotline-/Call-Center-Practice bei Tinder-Style Identitaets-Auskunft pruefen.
+- **Source**: [curia.europa.eu C-740/22](https://curia.europa.eu/juris/liste.jsf?num=C-740/22) · [dejure.org EuGH 07.03.2024 C-740/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=07.03.2024&Aktenzeichen=C-740/22)
+
+### EuGH — C-118/22 NG gg. Direktor na GDNP, Sofia (30.01.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Polizeibehoerden duerfen biometrische und genetische Daten von rechtskraeftig wegen vorsaetzlicher Straftat verurteilten Personen **nicht generell und unterschiedslos bis zum Tod** ohne zeitliche Begrenzung speichern — Verstoss gegen Datenminimierungs-Grundsatz nach RL 2016/680 (LED, nicht DSGVO). Mitgliedstaaten muessen Speicherdauern an Schwere der Tat / Resozialisierungsbeduerfnis koppeln.
+- **Anwendung (Skill-Pattern)**: Gilt fuer Polizei-Datenbanken nach LED, nicht fuer Privatwirtschaft. Aber: Argumentations-Spillover fuer **andere** Speicherbegrenzungs-Faelle — wenn Mitgliedstaat-Recht zur Speicherung "unbestimmt lang" nicht haelt, kann Betroffener Loeschung verlangen. Im Memo bei Mandant in Vorstrafen-Datenbank-Falle: konkrete Speicherdauer-Vorgabe nachfragen.
+- **Source**: [curia.europa.eu C-118/22](https://curia.europa.eu/juris/liste.jsf?num=C-118/22) · [GDPRhub C-118/22](https://gdprhub.eu/index.php?title=CJEU_-_C-118/22_-_Direktor_na_Glavna_direktsia_%E2%80%98Natsionalna_politsia%E2%80%99_pri_MVR_%E2%80%93_Sofia) · [dejure.org EuGH 30.01.2024 C-118/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=30.01.2024&Aktenzeichen=C-118/22)
+
+### EuGH — C-548/21 CG gg. Bezirkshauptmannschaft Landeck (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Polizeilicher Zugriff auf Daten in einem **Smartphone** setzt **vorherige richterliche** (oder durch unabhaengige Behoerde) Genehmigung voraus und muss verhaeltnismaessig sein. Der nationale Gesetzgeber muss die Faktoren (Art/Kategorie der Straftat) konkret regeln. Auch der erfolglose **Entsperr-Versuch** ist als relevanter Grundrechtseingriff zu werten. Betroffener ist nachtraeglich zu informieren.
+- **Anwendung (Skill-Pattern)**: Stellt Massstaebe fuer staatlich-erzwungene Smartphone-Auswertung. Im Skill-Output bei Mandant mit Polizei-/Behoerden-Zugriff: pruefen, ob (1) Richter-Vorbehalt eingehalten, (2) Verhaeltnismaessigkeits-Abwaegung dokumentiert, (3) Information stattfand. Bei privatwirtschaftlichen MDM-/BYOD-Auslese-Tools nicht direkt anwendbar, aber Argumentations-Anker fuer "Smartphone als sensible Daten-Box".
+- **Source**: [curia.europa.eu C-548/21](https://curia.europa.eu/juris/liste.jsf;jsessionid=844163B8D8ECC2CE09614BA0FA102647?num=C-548/21&language=de) · [curia.europa.eu PM cp240171en](https://curia.europa.eu/site/upload/docs/application/pdf/2024-10/cp240171en.pdf) · [EUR-Lex 62021CJ0548](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:62021CJ0548)
+
+### EuGH — C-17/22 + C-18/22 HTB Neunte Immobilien Portfolio + Oekorenta (12.09.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Die Weitergabe von Namen und Anschriften von **mittelbar ueber Treuhaender beteiligten Gesellschaftern** an einen anderen Gesellschafter eines Investmentfonds (geschlossener Fonds) **kann** auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) **oder** lit. f (berechtigtes Interesse) gestuetzt werden, wenn keine **praktikable, weniger eingriffsintensive Alternative** existiert und das Auskunftsbegehren zum Wesensgehalt des Gesellschafter-Rechts gehoert. Kippt die strenge BGH-Linie, die Auskunfts-Anspruch teils versagte.
+- **Anwendung (Skill-Pattern)**: Bei mittelbar-beteiligten Gesellschaftern / Investoren in Closed-Funds: Auskunftsanspruch ueber Mit-Gesellschafter ist mit DSGVO vereinbar — nicht mehr "DSGVO-Schutz" als Anti-Auskunfts-Schutzschild. Im Memo bei Mandant-Fondskonflikten: BGH-Vor-Entscheidungen kritisch hinterfragen.
+- **Source**: [curia.europa.eu C-17/22 + C-18/22](https://curia.europa.eu/juris/liste.jsf?num=C-17/22) · [EUR-Lex 62022CJ0017](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0017) · [NWB C-17/22](https://datenbank.nwb.de/Dokument/1066308/)
+
+### EuGH — C-621/22 Koninklijke Nederlandse Lawn Tennisbond gg. AP (04.10.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Ein **rein wirtschaftliches** Interesse (hier: Verkauf von Mitgliederdaten durch den Niederlaendischen Tennisverband an Sponsoren wie TennisDirect + Lotterie-Anbieter) **kann** "berechtigtes Interesse" i.S.v. Art. 6 Abs. 1 lit. f DSGVO sein, sofern es nicht rechtswidrig ist. Drei Voraussetzungen kumulativ: (1) berechtigtes Interesse vorhanden; (2) Verarbeitung erforderlich; (3) keine ueberwiegenden entgegenstehenden Interessen Betroffener. Im konkreten Fall: NICHT erfuellt — Mitglieder konnten vernuenftigerweise NICHT erwarten, dass ihre Daten zu Werbezwecken weitergegeben werden.
+- **Anwendung (Skill-Pattern)**: Werbe-Daten-Weitergabe an Sponsoren / Affiliates / Newsletter-Pools — pruefen ob Mitglieder/Nutzer mit der Weitergabe rechnen konnten (vorab-Info, Datenschutzerklaerung). Im Audit: "berechtigtes Interesse" + Wirtschafts-Argument nicht pauschal ablehnen, aber Verhaeltnismaessigkeits-Test sehr streng. Skill-Output bei Mandant: Erwartung-Test ist die Crux ("haette der durchschnittliche Nutzer mit dieser Weitergabe rechnen koennen?").
+- **Source**: [curia.europa.eu C-621/22](https://curia.europa.eu/juris/document/document.jsf?text=&docid=290688&pageIndex=0&doclang=DE) · [dejure.org EuGH 04.10.2024 C-621/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=04.10.2024&Aktenzeichen=C-621/22)
+
+### EuGH — C-741/21 GP gg. juris GmbH (11.04.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (1) Schadensersatz nach Art. 82 DSGVO hat **reine Kompensationsfunktion** — keine Abschreckungs- oder Strafzweck. (2) Das Vorliegen **mehrerer (gleichartiger) Verstoesse** (Wiederholungsverletzungen) fuehrt **nicht automatisch zu erhoehtem** Schadensersatz — Hoehe richtet sich nach konkretem Schaden, nicht nach Anzahl der Verstoesse. (3) Bei Werbe-/Direct-Marketing-Faellen: Verantwortlicher kann sich von der Haftung **exkulpieren**, wenn er nachweist, dass ihn **kein** Verschulden traf (Art. 82 Abs. 3 DSGVO).
+- **Anwendung (Skill-Pattern)**: Bei wiederholt-zugesandten Werbe-Mails trotz Widerspruch: Schadensersatz ja, aber NICHT linear pro Mail steigend. Im Memo bei Mandant mit Spam-Welle: Argumentations-Linie aus C-590/22 + C-741/21 nutzen — Hoehe orientiert sich an konkreter Auswirkung (Aerger-Tiefe, Zeit-Aufwand fuer Loeschung), nicht an "Stueckzahl".
+- **Source**: [curia.europa.eu C-741/21](https://curia.europa.eu/juris/document/document.jsf?text=&docid=284641&doclang=DE) · [EUR-Lex 62021CJ0741](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62021CJ0741) · [dejure.org EuGH 11.04.2024 C-741/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=11.04.2024&Aktenzeichen=C-741/21)
+
+### EuGH — C-479/22 P OC gg. Europaeische Kommission / OLAF (07.03.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: (Korrigierte Datierung: 07.03.2024, nicht 11.07.2024.) Eine Pressemitteilung der EU-Antibetrugsbehoerde **OLAF**, die **identifizierende Merkmale** (auch nicht-namentlich, aber durch "uebliche Lese-Mittel" rekonstruierbar) enthaelt, stellt **personenbezogene Daten** i.S.v. VO 2018/1725 (entspricht DSGVO fuer EU-Organe) dar. OLAF hat damit gegen Datenschutz-Vorgaben verstossen.
+- **Anwendung (Skill-Pattern)**: PR-/Compliance-Communication: jede oeffentliche Mitteilung mit "identifizierbarer" Person (auch ohne Namen — z.B. "ein griechischer Akademiker mit Forschungsfoerderung-Vorwurf") = Datenverarbeitung. Im Audit fuer Unternehmen: Pressemitteilungen, Geschaeftsberichte, interne Newsletters — Personenbezug pruefen, nicht nur namentliche Erwaehnung.
+- **Source**: [curia.europa.eu C-479/22 P](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62022CJ0479) · [dejure.org EuGH 07.03.2024 C-479/22 P](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=07.03.2024&Aktenzeichen=C-479/22)
+
+### EuGH — C-768/21 TR gg. Hessischer Beauftragter fuer Datenschutz (26.09.2024) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: Aufsichtsbehoerden sind **nicht verpflichtet**, in jedem Fall einer DSGVO-Verletzung Abhilfemassnahmen (Bussgeld, Anordnung, Verwarnung) zu ergreifen. Eine Handlungspflicht besteht nur, wenn das Einschreiten **geeignet, erforderlich und verhaeltnismaessig** ist. Insbesondere darf von einer Geldbusse abgesehen werden, wenn der Verantwortliche unmittelbar nach Entdeckung des Verstosses **Selbst-Massnahmen** zur Behebung + Wiederholungs-Vermeidung trifft.
+- **Anwendung (Skill-Pattern)**: Bei selbst entdeckter Datenpanne: schnelle, dokumentierte Selbst-Korrektur + Aufsichtsbehoerde-Information ist Bussgeld-Mitigations-Strategie #1. Im Memo bei Verantwortlichen-Mandanten: "Cooperation-Krediit" beim Aufsichts-Engagement nutzen, NICHT abwarten ob Behoerde von selbst zuschlaegt.
+- **Source**: [curia.europa.eu C-768/21](https://curia.europa.eu/juris/liste.jsf?num=C-768/21) · [datenschutz.hessen.de — C-768/21](https://datenschutz.hessen.de/presse/datenschutzaufsichtsbehoerden-duerfen-massnahmen-an-der-konkreten-situation-ausrichten) · [dejure.org EuGH 26.09.2024 C-768/21](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=26.09.2024&Aktenzeichen=C-768/21)
+
+### EuGH — C-807/21 Deutsche Wohnen SE gg. Staatsanwaltschaft Berlin (05.12.2023) ✓ verifiziert [secondary-source-verified] ⚠️ CRITICAL fuer Bussgeld-Argumentation
+- **Tenor**: (1) Eine **juristische Person** kann unmittelbarer Adressat einer DSGVO-Geldbusse nach Art. 83 DSGVO sein — **ohne** dass der Verstoss einer konkreten natuerlichen Person (Vorstand/Geschaeftsfuehrer) zugerechnet werden muss (kein deutsches "Rechtstraeger-Prinzip" + § 30 OWiG-Hueber-Zurechnung erforderlich). (2) Bussgeld setzt aber zwingend **Verschulden** (Vorsatz oder Fahrlaessigkeit) der Verantwortlichen voraus. (3) Bei Konzernen: bei Bussgeld-Bemessung nach Art. 83 Abs. 4-6 DSGVO ist auf den **Konzern-Gesamtumsatz** ("undertaking" i.S.d. Wettbewerbsrechts) abzustellen — nicht nur Umsatz der unmittelbar verletzenden Tochter. Bestaetigt in C-383/23 ILVA (13.02.2025).
+- **Anwendung (Skill-Pattern)**: Compliance-Argumentation bei Bussgeld-Risiko: Konzern-Umsatz ist die **Bemessungs-Basis**, Tochter-Umsatz ist falsch. Dies macht DSGVO-Bussgelder fuer grosse Gruppen materiell **dramatisch** hoeher. Im Memo: Argument fuer Vorstandshaftung schwaecher (keine Management-Zurechnung erforderlich), Argument fuer Konzern-Anteils-Haftung staerker (volle Gruppen-Bemessung). KRITISCH bei jedem Bussgeld-Risiko-Memo zu zitieren.
+- **Source**: [curia.europa.eu C-807/21](https://curia.europa.eu/juris/liste.jsf?num=C-807/21) · [LTO — Deutsche Wohnen](https://www.lto.de/recht/nachrichten/n/eugh-c80721-c68321-deutsche-wohnen-dsgvo-bussgeld-kammergericht) · [GDD — Deutsche Wohnen](https://www.gdd.de/europa-meldungen/eugh-zur-bussgeldhaftung-deutsche-wohnen/) · [Osborne Clarke — C-807/21](https://www.osborneclarke.com/de/insights/eugh-zu-deutsche-wohnen-dsgvo-bussgelder-setzen-verschulden-voraus-behoerden-muessen-ihre)
+
+---
+
+## NOT_VERIFIED (manueller Volltext-Check pflicht)
+
+### C-687/23 — angeblich "Verzeichnis-Verarbeitung" (2025) — **NICHT VERIFIZIERT**
+- Status: WebSearch lieferte keine kongruenten Treffer fuer ein EuGH-Verfahren mit dem Az. **C-687/23** zum Thema "Verzeichnis-Verarbeitung". Suche nur kongruent fuer C-687/21 (MediaMarktSaturn, 25.01.2024 — bereits in Tier-1 unter eigener Position).
+- Hypothesen: (a) Az.-Tippfehler in Operator-Liste — moeglicherweise C-687/21 doppelt gemeint; (b) Fall noch nicht entschieden / im Verfahren; (c) anderer thematischer Fokus.
+- **TODO**: manueller Volltext-Check ueber [curia.europa.eu Suche C-687/23](https://curia.europa.eu/juris/liste.jsf?num=C-687/23) erforderlich, bevor zitierfaehig.
+- **NICHT** im Skill-Output zitieren bis verifiziert.
+
+### Datierungs-Korrekturen (gegenueber Operator-Brief)
+- **C-590/22 PS GbR** — korrekt: **20.06.2024**, nicht 11.04.2024 (Operator-Brief-Fehler — am 11.04.2024 erging C-741/21 juris).
+- **C-479/22 P OC/OLAF** — korrekt: **07.03.2024**, nicht 11.07.2024 (Operator-Brief-Fehler).
+- Beide Eintraege in Tier-2 mit korrekten Daten geschrieben.
+
+---
+
+## Anwendung im Skill-Output
+
+Wann zitiert man welches Urteil?
+- **Erheblichkeitsschwelle-Frage** → C-300/21 (keine Erheblichkeitsschwelle)
+- **Befuerchtungs-Schaden ausreichend** → C-340/21 + C-687/21
+- **Bagatell-Verletzung** → C-456/22
+- **Art. 22 SCHUFA / automatisierte Entscheidung** → C-26/22
+- **SCHUFA + Restschuldbefreiung** → C-634/21
+- **Mitbewerber-Klage UWG vs DSGVO** → C-21/23
+- **Schmerzensgeld-Hoehe / Quantum** → C-590/22 + C-741/21
+- **Art. 9 sensible Daten** → C-446/21
+- **Beschaeftigtendaten + Betriebsvereinbarung-Limit** → C-65/23
+- **Anrede-Pflichtangabe / Data-Minimization** → C-394/23
+- **Identitaetsdiebstahl-Befuerchtung** → C-182/22 + C-189/22
+- **Handelsregister-Daten** → C-200/23
+- **Verbandsklage-Befugnis** → C-757/22
+- **Biometrische Daten Personalausweis** → C-61/22
+- **Muendliche Auskunft Art. 15** → C-740/22
+- **Speicherbegrenzung Polizei-DB** → C-118/22
+- **Smartphone-Auswertung Polizei** → C-548/21
+- **Berechtigtes Interesse Gesellschafter** → C-17/22 + C-18/22
+- **Berechtigtes Interesse Vereins-Daten** → C-621/22
+- **OLAF / Sicherheitsbehoerden-Uebermittlung** → C-479/22 P
+- **Aufsichtsbehoerde-Einschreitens-Pflicht** → C-768/21
+- **Konzern-Umsatz-Bussgeld-Basis Art. 83** → C-807/21 (CRITICAL)
+
+---
+
+## Provenance-Notes
+
+- Jeder verifizierte Eintrag traegt `[primary-source-verified]` (curia.europa.eu bestaetigt) oder `[secondary-source-verified]` (mind. 2 Sekundaerquellen kongruent).
+- Bei Konflikten zwischen Quellen: Tenor-Wortlaut von curia.europa.eu PM > InfoCuria-Volltext > dejure-Zusammenfassung > Anwalts-Blog.
+- NIE Az. raten — wenn unsicher: NOT_VERIFIED + Volltext-Check als TODO.

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BDSG/audit-relevance.md

@@ -0,0 +1,31 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: BDSG Audit-Relevance — DSGVO-Ergaenzungen DE.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# BDSG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+BDSG laden zusaetzlich zu DSGVO bei:
+- DE-Sitz des Operators
+- HR-/Beschaeftigtendaten-Verarbeitung
+- Scoring / automatisierte Entscheidung
+
+## Pflicht-Surfaces
+
+| Surface | BDSG-§ |
+|---|---|
+| Beschaeftigtendaten | § 26 |
+| DSB-Pflicht (>= 20 MA mit reg. Verarbeitung) | § 38 |
+| Forschungs-Verarbeitung | § 27 |
+| Scoring | § 31 |
+| Strafnorm bei Vorsatz | § 42 |
+
+## Cross-Reference
+
+- DSGVO-Layer: `gesetze/DSGVO/`
+- BDSG paragraphs.md: `gesetze/BDSG/paragraphs.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BDSG/paragraphs.md

@@ -0,0 +1,62 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/bdsg_2018/
+last-checked: 2026-05-01
+purpose: BDSG (Bundesdatenschutzgesetz, Fassung 2018) — DSGVO-Ergänzungsregeln + DSB-Pflicht + Beschäftigtendaten.
+---
+
+# BDSG — Audit-relevante Paragraphen
+
+> Volltext: https://www.gesetze-im-internet.de/bdsg_2018/
+
+## § 5 — Bestellung Datenschutzbeauftragter im öffentlichen Bereich
+Pflicht für öffentliche Stellen.
+
+## § 26 — Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
+
+- Abs. 1: zulässig wenn erforderlich für Begründung/Durchführung/Beendigung des Beschäftigungsverhältnisses
+- Abs. 2: Einwilligung im Beschäftigungsverhältnis nur wirksam wenn freiwillig
+- Abs. 3: besondere Kategorien Art. 9 nur unter strengen Voraussetzungen
+- Abs. 4: Kollektivvereinbarung als Rechtsgrundlage
+
+**Audit-Relevanz:**
+- HR-Tech-Apps (Recruiting, Performance-Tracking, Mitarbeiter-Geo)
+- Wenn AI-Tool für Bewerber-Screening genutzt → Art. 22 DSGVO + Art. 6 AI-Act (Hochrisiko-KI)
+
+## § 27 — Datenverarbeitung zu wissenschaftlichen / historischen Forschungszwecken
+Erlaubnis-Tatbestand mit zusätzlichen Schutzmaßnahmen.
+
+## § 35 — Recht auf Löschung (DSGVO-Konkretisierung)
+Wenn Löschung wegen Aufbewahrungspflichten nicht möglich → Einschränkung statt Löschung.
+
+## § 38 — Datenschutzbeauftragter im nicht-öffentlichen Bereich (DSB-Pflicht)
+
+- Abs. 1: Pflicht ab **20 Personen ständig mit automatisierter Verarbeitung beschäftigt** ODER
+- Abs. 1 S. 2: bei umfangreicher Verarbeitung sensibler Daten (Art. 9 DSGVO) ODER
+- Abs. 1 S. 2: bei DSFA-Pflicht-Verarbeitung
+- Abs. 2: ext. + int. DSB möglich
+
+**Audit-Relevanz:**
+- DSE-Pflicht Hinweis auf DSB (Art. 13 lit. b DSGVO)
+- DSB-Kontaktangabe im Impressum (best practice)
+
+## § 41 — Bußgeld-Sonderrechtsweg
+Anwendung der OWiG-Vorschriften auf DSGVO-Bußgelder.
+
+## § 42 — Strafvorschriften
+Vorsätzlicher Datenmissbrauch — bis 3 Jahre Freiheitsstrafe.
+
+## § 43 — Bußgeld-Vorschriften (BDSG-spezifisch)
+Ergänzung zu DSGVO Art. 83 für nationale Sondertatbestände.
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | BDSG-§ |
+|---------------|--------|
+| DSB-Pflicht | § 38 (≥ 20 MA Trigger) |
+| Beschäftigtendaten / HR-Tech | § 26 |
+| Forschungs-Verarbeitung | § 27 |
+| Lösch-Konflikt mit Aufbewahrung | § 35 |
+| Strafvorschriften | § 42 |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BFSG/audit-relevance.md

@@ -0,0 +1,39 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: BFSG Audit-Relevance — Barrierefreiheit B2C-Online.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# BFSG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei B2C-Online-Anbietern, **insbesondere** ab 28.06.2025.
+
+## Mikrounternehmen-Ausnahme
+
+< 2 Mio. EUR Umsatz/Bilanzsumme + < 10 MA = ausgenommen (§ 3 BFSG).
+B2B-only = ausgenommen.
+
+## Pflicht-Surfaces
+
+| Surface | BFSG-§ |
+|---|---|
+| WCAG 2.1 Level AA Konformitaet | § 1 |
+| Erklaerung zur Barrierefreiheit | § 7 |
+| Bedienbarkeit per Tastatur | Anforderungs-VO |
+| Alt-Text fuer informative Bilder | Anforderungs-VO |
+| Aria-Labels fuer interaktive Elemente | Anforderungs-VO |
+| Kontrast >= 4.5:1 | Anforderungs-VO |
+
+## Sanktionen
+
+§ 30 BFSG: bis 100.000 EUR pro Verstoss.
+UWG-§3a-Hebel: Wettbewerber-Abmahnung moeglich.
+
+## Cross-Reference
+
+- Audit-Pattern Phase 5b: `audit-patterns.md`
+- BFSG paragraphs.md: `gesetze/BFSG/paragraphs.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BFSG/paragraphs.md

@@ -0,0 +1,85 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/bfsg/
+last-checked: 2026-05-01
+purpose: BFSG — Barrierefreiheits-Stärkungsgesetz, Pflicht seit 28.06.2025 für B2C-Online-Angebote.
+---
+
+# BFSG — Audit-relevante Paragraphen
+
+> Barrierefreiheits-Stärkungsgesetz, BGBl. I 2021 S. 2970, in Kraft seit **28.06.2025**.
+> Volltext: https://www.gesetze-im-internet.de/bfsg/
+> Setzt EU-Richtlinie 2019/882 (European Accessibility Act) in deutsches Recht um.
+
+## § 1 — Anwendungsbereich
+
+Gilt für Produkte + Dienstleistungen, die Verbrauchern angeboten werden.
+
+## § 2 — Begriffsbestimmungen
+
+Erfasste Dienstleistungen:
+- Bankdienstleistungen
+- Personenbeförderungs-Apps
+- E-Books
+- E-Commerce (Webshops, Online-Buchungssysteme, Apps mit Vertragsabschluss)
+- Telekommunikationsdienste
+- Audiovisuelle Mediendienste
+
+## § 3 — Mikrounternehmen-Ausnahme
+
+Kein BFSG für Unternehmen die ALLE Bedingungen erfüllen:
+- < 10 Beschäftigte UND
+- Jahresumsatz < 2 Mio. EUR ODER Bilanzsumme < 2 Mio. EUR
+
+**Wichtig:** B2B-only-Angebote sind ebenfalls **außerhalb** des BFSG (gilt nur für B2C).
+
+## § 4 — Pflichten für Wirtschaftsakteure
+
+Produkte + Dienstleistungen müssen barrierefrei sein.
+
+## § 5 — Konformitätsbewertung
+
+Nachweis durch:
+- EU-Konformitätserklärung (für Produkte)
+- Selbsterklärung der Barrierefreiheit (für Dienstleistungen)
+
+## § 14 — Durchsetzung (BfArM-Pflichten als Marktüberwachungsbehörde)
+
+Bei Verstoß: Aufforderung zur Mängelbeseitigung, ggf. Bußgeld (BFSG §§ 18–22).
+
+## § 18 — Bußgelder
+
+Bis **100.000 €** je Verstoß.
+
+**Audit-Relevanz für Webshops + SaaS:**
+
+| Pflicht-Anforderung | WCAG-Anker | Verify |
+|---------------------|------------|--------|
+| Wahrnehmbarkeit (Alt-Text, Farb-Kontrast ≥ 4.5:1) | WCAG 2.1 Level AA | Lighthouse-Score ≥ 80 |
+| Bedienbarkeit (Tastatur-Navigation, Skip-Links) | WCAG 2.1 Level AA | axe-core / pa11y |
+| Verständlichkeit (Sprache deklariert, klare Labels) | WCAG 2.1 Level AA | manuelles Audit |
+| Robustheit (semantische HTML, ARIA korrekt) | WCAG 2.1 Level AA | axe-core |
+| Erklärung zur Barrierefreiheit | § 12 BITV 2.0 | Footer-Link „Barrierefreiheit" |
+| Feedback-Mechanismus | § 12 BITV 2.0 | Kontakt für Barriere-Meldung |
+
+**Source-URL Wettbewerbszentrale (Branchen-Leitfaden):** https://www.wettbewerbszentrale.de/barrierefreiheitsstaerkungsgesetz-gilt-ab-28-juni-2025-was-unternehmen-jetzt-wissen-muessen/
+
+## Erklärung zur Barrierefreiheit (Pflicht-Inhalt)
+
+Pflicht bei Inkrafttreten:
+- Stand der Erfüllung der Anforderungen (vollständig / teilweise / nicht)
+- Begründung bei Nicht-Konformität (oft: „unverhältnismäßige Belastung")
+- Kontakt zur Meldung von Barrieren
+- Schlichtungsverfahren bei BfArM (https://www.bfarm.de)
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | BFSG-§ |
+|---------------|--------|
+| B2C-Online-Shop | § 1, § 2 |
+| Mikrounternehmen-Ausnahme | § 3 |
+| Erklärung zur Barrierefreiheit | § 12 BITV 2.0 |
+| Bußgeld-Range | § 18 (bis 100.000 €) |
+| WCAG-Konformität | implizit über § 4 + Verordnung BITV 2.0 |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BGB/audit-relevance.md

@@ -0,0 +1,42 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: BGB Audit-Relevance — Vertragsrecht / AGB / Verbraucherschutz.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# BGB — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei B2C-Sites + B2B-Vertraegen.
+
+## Pflicht-Surfaces
+
+| Surface | BGB-§ |
+|---|---|
+| AGB-Klauselverbote | § 305-310 |
+| AGB-Einbeziehung | § 305 Abs. 2 |
+| Generalklausel Inhaltskontrolle | § 307 |
+| Klauselverbote ohne Wertungsmoeglichkeit | § 309 |
+| Verbraucherrechte (Online) | § 312-312k |
+| Button-Loesung "zahlungspflichtig bestellen" | § 312j Abs. 3 |
+| Online-Kuendigungsbutton | § 312k |
+| Widerrufsrecht | § 355 |
+| Widerrufsfolgen | § 357-357d |
+| Pauschalreise | § 651a-y |
+| Auftrag (B2B-Service) | § 666 ff. |
+| Dauerschuldverhaeltnisse | § 309 Nr. 9 |
+
+## Az.-Anker
+
+- BGH I ZR 161/24 (Kuendigungsbutton, 22.05.2025)
+- BGH XI ZR 26/20 (Genehmigungsfiktion AGB-Aenderung, 27.04.2021)
+- BGH VIII ZR 70/08 (Widerrufsbelehrung, 21.12.2011)
+
+## Cross-Reference
+
+- Vertragsrecht: `vertragsrecht.md`
+- Bgh-Urteile zu BGB: `bgh-urteile.md`
+- Checkliste 3b AGB B2C: `checklisten.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/BGB/paragraphs.md

@@ -0,0 +1,112 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/bgb/
+last-checked: 2026-05-01
+purpose: BGB — AGB-Recht (§§ 305–310), Verbraucherschutz (§§ 312–312k), Widerruf (§§ 355–357d), Pauschalreise (§§ 651a–y). Audit-relevant.
+---
+
+# BGB — Audit-relevante Paragraphen
+
+> Volltext: https://www.gesetze-im-internet.de/bgb/
+
+## AGB-Recht (§§ 305–310)
+
+### § 305 — Einbeziehung Allgemeiner Geschäftsbedingungen
+- Abs. 2: AGB werden Vertragsbestandteil nur wenn ausdrücklicher Hinweis + zumutbare Möglichkeit der Kenntnisnahme + Einverständnis
+- Abs. 3: Rahmenvereinbarung möglich (z.B. fortlaufende Geschäftsbeziehung)
+**Audit-Relevanz:** AGB-Akzeptanz im Bestellprozess sichtbar + zumutbar lesbar (nicht nur Footer-Link).
+
+### § 305c — Überraschende und mehrdeutige Klauseln
+Klauseln, mit denen Vertragspartner nicht zu rechnen brauchte → werden NICHT Vertragsbestandteil.
+Mehrdeutige Klauseln gehen zu Lasten des Verwenders.
+**Audit-Relevanz:** AGB-Klausel „Haftung ausgeschlossen für jede Schadensart" → überraschend → unwirksam.
+
+### § 307 — Inhaltskontrolle (Generalklausel)
+- Abs. 1: unangemessene Benachteiligung → unwirksam
+- Abs. 1 S. 2: intransparente Klauseln → unangemessen
+- Abs. 2 Nr. 1: Abweichung von gesetzlichen Grundgedanken
+- Abs. 2 Nr. 2: Aushöhlung des Vertragszwecks
+**Audit-Relevanz:** Generalprüfung jeder AGB-Klausel.
+
+### § 308 — Klauselverbote mit Wertungsmöglichkeit
+- Nr. 1: unangemessene Annahme-/Lieferfristen
+- Nr. 4: einseitige Leistungsänderungs-Vorbehalte (BGH XI ZR 26/20: nur mit Wesentlichkeit-Schwelle)
+- **Nr. 5: Genehmigungsfiktion bei AGB-Änderungen** — strenge Voraussetzungen (BGH XI ZR 26/20)
+
+### § 309 — Klauselverbote ohne Wertungsmöglichkeit
+- Nr. 7 lit. a: Haftungsausschluss bei Vorsatz/grober Fahrlässigkeit + Personenschäden = unwirksam
+- **Nr. 9 lit. b: Verbrauchervertrag mit Laufzeit > 1 Jahr → max. 1 Monat Kündigungsfrist nach Erstlaufzeit** (Faires-Verbraucher-Vertraege-Gesetz 2022)
+
+### § 310 — Anwendungsbereich
+- Abs. 1: § 309 + Klauselverbote nur ggü. Verbraucher (B2C)
+- Abs. 4: gilt nicht für Arbeitsverträge
+
+## Verbraucherschutz (§§ 312–312k)
+
+### § 312 — Anwendungsbereich
+B2C-Verbrauchervertrag bei entgeltlichen Leistungen.
+
+### § 312a — Allgemeine Pflichten + Grundsätze
+- Abs. 2: Vorvertragliche Informationspflicht (Art. 246a EGBGB Anlage)
+- Abs. 3: Buttontext-Pflicht „zahlungspflichtig bestellen" (auch hier verankert)
+- Abs. 4: keine pre-checked-Zusatzleistungen
+
+### § 312g — Widerrufsrecht
+- Abs. 1: bei Fernabsatzverträgen (Art. 312c) und außerhalb Geschäftsräumen
+- Abs. 2: Ausnahmen (Sonderanfertigungen, schnell verderbliche Waren, versiegelte Hygiene-Artikel, etc.)
+
+### § 312i — Allgemeine Pflichten im elektronischen Geschäftsverkehr
+- Abs. 1: technische Mittel zur Erkennung + Korrektur von Eingabefehlern
+
+### § 312j — Besondere Pflichten bei Verbrauchervertraegen im elektronischen Geschäftsverkehr
+- Abs. 1: vor Abgabe der Bestellung Pflicht-Informationen
+- **Abs. 2: konkrete UI-Anforderungen** — wesentliche Merkmale, Gesamtpreis, Laufzeit, Mindestlaufzeit + Kündigung gut sichtbar direkt vor Bestellung
+- **Abs. 3: Button-Lösung „zahlungspflichtig bestellen"** — Pflicht-Wording. Alternativen: „kostenpflichtig bestellen", „kaufen". NICHT akzeptiert: „Anmelden", „weiter", „bestellen", „Auftrag erteilen"
+
+### § 312k — Online-Kündigungsbutton
+- Abs. 1: bei B2C-Dauerschuldverhältnissen über Webseite Pflicht
+- Abs. 2: Button beschriftet mit „Verträge hier kündigen" oder eindeutig vergleichbar
+- Abs. 3: Bestätigungsseite mit Kündigungs-Daten
+- Abs. 4: unverzügliche elektronische Empfangsbestätigung
+**Az.-Anker:** BGH I ZR 161/24 (22.05.2025) zu § 312k.
+
+## Widerrufsrecht (§§ 355–357d)
+
+### § 355 — Widerrufsrecht
+- Abs. 1: 14 Tage ab Vertragsschluss (oder Erhalt Ware)
+- Abs. 2: Frist beginnt nicht ohne Widerrufsbelehrung
+**Audit-Relevanz:** Widerrufsbelehrung muss „deutlich" sein (BGH VIII ZR 70/08). Mustertext aus Anlage 1 zu Art. 246a § 1 Abs. 2 EGBGB.
+
+### § 356 — Widerrufsrecht im Fernabsatz / außerhalb Geschäftsräume
+- Abs. 1: 14 Tage
+- Abs. 3: bei fehlender Belehrung 12 Monate + 14 Tage Höchstfrist
+
+### § 357 — Rechtsfolgen Widerruf
+Rückzahlung binnen 14 Tagen. Hin- und Rücksendekosten.
+
+### § 357a — Bei digitalen Produkten
+Bei Bereitstellung digitaler Inhalte: Widerruf endet wenn Verbraucher zugestimmt hat.
+
+## Pauschalreise (§§ 651a–y)
+
+### § 651a — Pflichten Reiseveranstalter
+Definitionen, Anwendungsbereich.
+
+### § 651k — Sicherungspflicht
+Reise-Sicherungs-Schein vor Anzahlung.
+**Audit-Relevanz:** Reise-Sites brauchen Sicherungs-Schein-Hinweis VOR Bestellung.
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | BGB-§ |
+|---------------|-------|
+| AGB-Klauseln | § 305c, § 307, § 308, § 309, § 310 |
+| AGB Genehmigungsfiktion | § 308 Nr. 5 + BGH XI ZR 26/20 |
+| Mindestlaufzeit B2C | § 309 Nr. 9 lit. b |
+| Vorvertragliche Pflicht-Info | § 312a Abs. 2 + Art. 246a EGBGB |
+| Button-Lösung | § 312j Abs. 3 |
+| Kündigungsbutton | § 312k + BGH I ZR 161/24 |
+| Widerrufsbelehrung | §§ 355, 356, 357 + BGH VIII ZR 70/08 |
+| Pauschalreise | §§ 651a–y |