@aegis-scan/skills 0.4.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/DDG/audit-relevance.md

@@ -0,0 +1,28 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: DDG Audit-Relevance — Impressum + Hosting-Privileg.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# DDG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei JEDER geschaeftlich-betriebenen Site (auch ohne Gewinn).
+
+## Pflicht-Surfaces
+
+| Surface | DDG-§ |
+|---|---|
+| Impressum | § 5 |
+| Werbung-Kennzeichnung | § 6 |
+| UGC-Hosting-Privileg | §§ 7-10 |
+| DSA-Umsetzungs-Pflichten | §§ 18-22 |
+
+## Cross-Reference
+
+- DSA: `gesetze/EU-Verordnungen/DSA-2022-2065/`
+- Audit-Pattern Impressum: `audit-patterns.md` Phase 3
+- Branchen-spezifische Impressums-Pflichten: `branchenrecht.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/DDG/paragraphs.md

@@ -0,0 +1,71 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/ddg/
+last-checked: 2026-05-01
+purpose: DDG (Digitale-Dienste-Gesetz) — vormals TMG seit 14.05.2024. Pflicht-Paragraphen.
+---
+
+# DDG — Audit-relevante Paragraphen
+
+> Digitale-Dienste-Gesetz (DDG). Setzt EU-DSA in deutsches Recht um.
+> Trat am 14.05.2024 in Kraft, ersetzte das TMG.
+> Volltext: https://www.gesetze-im-internet.de/ddg/
+
+## § 5 — Allgemeine Informationspflichten (Impressum)
+
+### Pflicht-Inhalt für jedes Impressum eines geschäftsmäßigen Telemediendienstes:
+- Nr. 1: Name + Anschrift (bei jur. Personen: Vertretungsberechtigter)
+- Nr. 2: Kontaktangaben (E-Mail + ein weiterer Kontaktweg, z.B. Telefon, Kontaktformular, schnelles Antwortmedium)
+- Nr. 3: zuständige Aufsichtsbehörde (sofern erforderlich)
+- Nr. 4: Handelsregister + Registernummer (bei jur. Personen)
+- Nr. 5: Berufsbezeichnung + Staat + Berufsregelungen + Link (bei reglementierten Berufen)
+- Nr. 6: Umsatzsteuer-ID (USt-ID nach § 27a UStG) ODER Wirtschafts-ID (§ 139c AO)
+
+**Audit-Relevanz:**
+- Footer-Link „Impressum" auf jeder Page
+- Anbieter-Block-Identifizierbarkeit (h2 + address)
+- USt-ID-Format (DE + 9 Ziffern)
+- Bei reglementierten Berufen (Anwalt/Arzt/Architekt): Berufsordnung + Kammer-Link Pflicht
+- Nicht genutzte Felder (Handelsregister bei Einzelunternehmer): NICHT auflisten als „n/a", weglassen
+
+## § 6 — Besondere Informationspflichten (kommerzielle Kommunikation)
+- Klare Erkennbarkeit als kommerzielle Kommunikation
+- Klare Erkennbarkeit der Person, in deren Auftrag die Kommunikation erfolgt
+
+**Audit-Relevanz:** Affiliate-Disclaimer (siehe `references/checklisten.md` 3c). Influencer-Posts.
+
+## §§ 7–10 — Haftung der Diensteanbieter
+
+### § 7 — Allgemeine Grundsätze (Verantwortlichkeit für eigene Inhalte)
+Diensteanbieter sind für eigene Informationen nach allgemeinen Gesetzen verantwortlich.
+
+### § 8 — Durchleitung von Informationen (Mere Conduit)
+Keine Verantwortung wenn: nicht initiiert, keine Auswahl Empfänger, keine Auswahl/Veränderung Inhalt.
+
+### § 9 — Zwischenspeicherung (Caching)
+Caching-Privileg.
+
+### § 10 — Speicherung von Informationen (Hosting)
+Host-Provider haftet nicht, wenn:
+- Nr. 1: keine Kenntnis rechtswidriger Information ODER
+- Nr. 2: nach Kenntnis-Erlangung unverzüglich entfernt
+**Audit-Relevanz:** UGC-Plattformen (Forum, Marketplace, Profile) — Notice-and-Action-Endpoint Pflicht (DSA Art. 16 ergänzt).
+
+---
+
+## Audit-Mapping
+
+| Audit-Surface | DDG-§ |
+|---------------|-------|
+| Impressum-Pflicht | § 5 |
+| Werbung / Kommerzielle Komm. | § 6 |
+| UGC-Hosting | § 10 + DSA Art. 16 |
+| Footer-Link „Impressum" | § 5 (de-facto Pflicht) |
+
+## Migration-Tabelle (TMG → DDG)
+
+- TMG § 5 → DDG § 5 (inhaltsgleich Impressum)
+- TMG § 7 → DDG § 7 (Haftung Grundsatz)
+- TMG § 10 → DDG § 10 (Hosting-Privileg)
+
+Skill-Output: stets „DDG" zitieren (TMG nur als historischer Hinweis bei alten Az.).

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/DSGVO/articles.md

@@ -0,0 +1,182 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
+last-checked: 2026-05-01
+purpose: Audit-relevante DSGVO-Artikel mit Tenor-Kurzfassung + Audit-Mapping
+---
+
+# DSGVO (VO 2016/679) — Audit-relevante Artikel
+
+> Strukturierter Auszug. Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
+
+## Kapitel I — Allgemeine Bestimmungen
+
+### Art. 4 — Begriffsbestimmungen
+Definiert: personenbezogene Daten (Nr. 1), Verarbeitung (Nr. 2), Verantwortlicher (Nr. 7), Auftragsverarbeiter (Nr. 8), Empfänger (Nr. 9), Dritter (Nr. 10), Einwilligung (Nr. 11), Aufsichtsbehörde (Nr. 21).
+**Audit-Relevanz:** jede DSE-Aussage muss konsistent zu Art. 4 sein. „Wir geben Daten weiter an Dienstleister X" → Auftragsverarbeiter (AVV nach Art. 28 nötig) oder Dritter (eigene Rechtsgrundlage nötig)?
+
+## Kapitel II — Grundsätze (Art. 5–11)
+
+### Art. 5 — Grundsätze für die Verarbeitung
+- Abs. 1 lit. a: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
+- Abs. 1 lit. b: Zweckbindung
+- Abs. 1 lit. c: Datenminimierung
+- Abs. 1 lit. d: Richtigkeit
+- Abs. 1 lit. e: Speicherbegrenzung
+- Abs. 1 lit. f: Integrität und Vertraulichkeit (TOMs)
+- **Abs. 2: Rechenschaftspflicht** — Verantwortlicher muss Compliance NACHWEISEN können
+**Audit-Relevanz:** lit. e triggert Lösch-Cron-Audit (Phase 5i Skill). Abs. 2 triggert VVT-/DSFA-/Audit-Trail-Doku-Pflicht.
+
+### Art. 6 — Rechtmäßigkeit der Verarbeitung
+- Abs. 1 lit. a: Einwilligung
+- Abs. 1 lit. b: Vertragserfüllung
+- Abs. 1 lit. c: rechtliche Verpflichtung
+- Abs. 1 lit. d: lebenswichtige Interessen
+- Abs. 1 lit. e: öffentliche Aufgabe
+- **Abs. 1 lit. f: berechtigtes Interesse** — Drei-Stufen-Test (Interesse + Erforderlichkeit + Abwägung)
+**Audit-Relevanz:** Pflicht-Angabe in DSE Art. 13 lit. c. Bei lit. f: Interessenabwägung dokumentiert? EuGH C-252/21 Meta: Werbung ≠ berechtigtes Interesse.
+
+### Art. 7 — Bedingungen für die Einwilligung
+- Abs. 1: Nachweispflicht der Einwilligung
+- Abs. 2: hervorgehoben + verständlich + von anderen Punkten getrennt
+- Abs. 3: jederzeit widerrufbar (so einfach wie Erteilung)
+- Abs. 4: Kopplungsverbot
+**Audit-Relevanz:** Cookie-Banner-Pflicht (Akzeptieren + Ablehnen gleichwertig). Newsletter-Anmeldung darf nicht an AGB-Akzeptanz gekoppelt sein (Az. BGH I ZR 218/19).
+
+### Art. 8 — Kinder
+Einwilligung Kinder ≥ 16 Jahre wirksam (DE: § 21 BDSG bestätigt). Bei < 16 Jahren: Eltern-Zustimmung nötig.
+**Audit-Relevanz:** EdTech / Social-Plattform / Gaming → Altersgate? Verifikation?
+
+### Art. 9 — Besondere Kategorien (Sondersensible Daten)
+Verbot mit Erlaubnisvorbehalt. Zulässig nur wenn: ausdrückliche Einwilligung (Abs. 2 lit. a), Beschäftigungsrecht (lit. b), öffentliches Interesse (lit. g), Gesundheitsschutz (lit. h), Forschung (lit. j) etc.
+**Audit-Relevanz:** Heilberuf / Telemedizin / Dating-Apps / Pet-Care mit Krankheits-Daten. Trigger DSFA Art. 35.
+
+## Kapitel III — Rechte der betroffenen Person (Art. 12–23)
+
+### Art. 12 — Modalitäten
+- Abs. 1: präzise + transparent + verständlich
+- Abs. 3: 1 Monat Frist (verlängerbar 2 Monate)
+- Abs. 5: i.d.R. unentgeltlich
+
+### Art. 13 — Informationspflicht bei Erhebung
+Pflicht-Inhalte für DSE: Identität Verantwortlicher (lit. a), Kontakt DSB (lit. b), Zwecke + Rechtsgrundlage (lit. c), berechtigte Interessen (lit. d), Empfänger (lit. e), Drittlandtransfer + Schutzgarantien (lit. f), Speicherdauer (Abs. 2 lit. a), Rechte (Abs. 2 lit. b), Widerruf (Abs. 2 lit. c), Beschwerderecht (Abs. 2 lit. d).
+**Audit-Relevanz:** das ist die DSE-Pflicht-Liste — jede DSE muss alle 11 Punkte enthalten.
+
+### Art. 15 — Auskunftsrecht
+Vollständige Kopie aller Daten + Empfänger + Zwecke + Speicherdauer + Rechte (EuGH C-487/21).
+**Audit-Relevanz:** Endpoint `/api/user/access` oder Email-basiertes Verfahren? 1-Monat-Frist.
+
+### Art. 16 — Berichtigung
+**Audit-Relevanz:** UI-Pfad zur Profil-Bearbeitung dokumentiert?
+
+### Art. 17 — Löschung („Recht auf Vergessenwerden")
+- Abs. 1: Lösch-Anspruch wenn Zweck weggefallen, Widerruf, unrechtmäßig, Compliance-Pflicht
+- **Abs. 2: Informations-Pflicht an Empfänger** (Suchmaschinen + AVV) — Az. EuGH C-131/12 Google Spain
+**Audit-Relevanz:** Account-Delete-Endpoint (`/api/user/delete`)? UGC-Plattformen: X-Robots-Tag noindex auf User-PII (siehe Phase 5c skill).
+
+### Art. 18 — Einschränkung
+**Audit-Relevanz:** Endpoint vorhanden? Selten implementiert.
+
+### Art. 19 — Mitteilung an Empfänger
+Bei Berichtigung/Löschung/Einschränkung: alle Empfänger informieren.
+
+### Art. 20 — Datenübertragbarkeit
+Strukturiertes, gängiges, maschinenlesbares Format (JSON/CSV).
+**Audit-Relevanz:** Endpoint `/api/user/export`?
+
+### Art. 21 — Widerspruchsrecht
+- Abs. 1: bei berechtigtem Interesse
+- **Abs. 2: bei Direktwerbung jederzeit + uneingeschränkt** — Pflicht-Hinweis in DSE
+- Abs. 3: nach Widerspruch Direktwerbung darf nicht mehr verarbeitet werden
+
+### Art. 22 — Automatisierte Einzelentscheidung
+Verbot mit Erlaubnisvorbehalt (Abs. 2). Bei Erlaubnis: Recht auf menschliches Eingreifen (Abs. 3).
+**Audit-Relevanz:** AI-Scoring / KI-Empfehlung mit rechtlicher Wirkung → DSFA + Art. 22-Absicherung. Trigger AI-Act Art. 6+50.
+
+## Kapitel IV — Verantwortlicher + Auftragsverarbeiter (Art. 24–43)
+
+### Art. 25 — Privacy by Design + by Default
+**Audit-Relevanz:** Default-Settings analysieren (Newsletter-Opt-In, Profil-Sichtbarkeit, Tracker-Opt-In).
+
+### Art. 28 — Auftragsverarbeiter
+- Abs. 3: AVV-Pflichtinhalt (Gegenstand, Dauer, Art, Zweck, Datenkategorien, Personenkreis, Sub-AVV-Klausel, Weisungsbindung, Vertraulichkeit, TOMs, Mit-Unterstützungspflichten, Lösch-/Rückgabe-Klausel)
+**Audit-Relevanz:** AVV-Liste in DSE muss matchen mit aktiven Diensten (Drift-Style 1).
+
+### Art. 30 — Verzeichnis von Verarbeitungstätigkeiten (VVT)
+Pflicht ≥ 250 MA ODER regelmäßige sensible Verarbeitung. KMU-Privileg Abs. 5.
+**Audit-Relevanz:** Vorlage `references/templates/VVT-template.md`.
+
+### Art. 32 — Sicherheit der Verarbeitung (TOMs)
+Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Wiederherstellung, regelmäßige Tests.
+**Audit-Relevanz:** Pflicht-Inhalt in AVV. Verlinkung mit IT-Sec / NIS2.
+
+### Art. 33 — Datenpannenmeldung an Aufsichtsbehörde
+**72 Stunden ab Kenntnis** (Werktage zählen nicht — kontinuierlich).
+**Audit-Relevanz:** Incident-Response-Plan dokumentiert? Eskalations-Kontakt zu DSB.
+
+### Art. 34 — Benachrichtigung Betroffene
+Bei „hohem Risiko" — unverzüglich (kein 72h-Anker).
+
+### Art. 35 — Datenschutz-Folgenabschätzung (DSFA)
+- Abs. 3: Pflicht-Trigger (Profiling Abs. 3 lit. a, sensible Daten Abs. 3 lit. b umfangreich, öffentliche Räume systematisch lit. c)
+- DSK-Whitelist 2018 + BayLDA-Hinweise
+**Audit-Relevanz:** Vorlage `references/templates/DSFA-template.md`. KMU sind NICHT befreit.
+
+### Art. 37 — Benennung DSB
+Pflicht bei: Behörde, Kerntätigkeit umfangreiche systematische Überwachung, Kerntätigkeit besondere Kategorien Art. 9. Deutsches Recht erweitert (§ 38 BDSG).
+
+## Kapitel V — Drittland (Art. 44–50)
+
+### Art. 44 — Allgemeiner Grundsatz
+Drittlandtransfer nur mit Garantien Art. 45–47.
+
+### Art. 45 — Adequacy-Beschluss
+Liste: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
+Stand 2026: UK, Schweiz, Israel, Argentinien, Kanada, Andorra, Färöer, Guernsey, Isle of Man, Jersey, Neuseeland, Uruguay, Japan, Südkorea, EU-US DPF (seit 10.07.2023, noyb-Klage anhängig).
+
+### Art. 46 — Standardvertragsklauseln (SCC)
+Module 1–4 (Controller-Controller, Controller-Processor, Processor-Processor, Processor-Controller). Aktuelle SCC: VO 2021/914 (seit 27.06.2021).
+
+### Art. 47 — Binding Corporate Rules (BCR)
+Konzern-interne Regeln, von Aufsichtsbehörde genehmigt.
+
+### Art. 49 — Ausnahmen
+Nur restriktiv (EDPB Guidelines 2/2018). Einwilligung mit Risiko-Hinweis (Abs. 1 lit. a) — nicht für regelmäßige Transfers.
+
+## Kapitel VIII — Rechtsbehelfe + Sanktionen (Art. 77–84)
+
+### Art. 77 — Beschwerderecht bei Aufsichtsbehörde
+**Audit-Relevanz:** Pflicht-Hinweis in DSE.
+
+### Art. 79 — Klage gegen Verantwortlichen
+**Audit-Relevanz:** Gerichtsstandsklausel bei B2C in AGB beachten (Verbraucher-AGB-Recht § 38 ZPO).
+
+### Art. 82 — Schadensersatz
+- Abs. 1: materieller + immaterieller Schaden
+- Abs. 3: Beweislast Verantwortlicher (Beweislastumkehr für TOMs)
+**Az.-Anker:** EuGH C-300/21 (keine Erheblichkeitsschwelle), C-340/21 (Befürchtung Missbrauch reicht), BGH VI ZR 1370/20 (Kontrollverlust).
+
+### Art. 83 — Geldbußen
+- Stufe 1 (bis 10 Mio. €  oder 2% Umsatz): Art. 8, 11, 25–39, 42, 43
+- **Stufe 2 (bis 20 Mio. €  oder 4% Umsatz)**: Art. 5, 6, 7, 9, 12–22, 44–49, 58
+**Audit-Relevanz:** für €-Range im Skill-Output.
+
+---
+
+## Audit-Mapping-Index (für Skill-Auto-Loading)
+
+| Audit-Surface | Pflicht-Artikel |
+|---------------|-----------------|
+| DSE-Inhalte | 13, 14, 12 (Modalität) |
+| Cookie-Banner | 6 lit. a, 7 |
+| Auskunftsanfrage | 15, 12 (1 Monat) |
+| Account-Delete-Endpoint | 17 |
+| Datenexport-Endpoint | 20 |
+| Newsletter-Anmeldung | 6 lit. a, 7, 21 Abs. 2, 13 |
+| AVV-Listung | 28 (Abs. 3 Pflichtinhalt) |
+| Drittland-Hinweis | 44, 45, 46, 49, 13 lit. f |
+| Datenpanne | 33 (72h), 34 |
+| KI-Component | 22, 35 |
+| TOMs-Doku | 32, 5 Abs. 1 lit. f |
+| Sondersensible Daten | 9, 35 |
+| VVT | 30 (KMU-Privileg Abs. 5) |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/DSGVO/audit-relevance.md

@@ -0,0 +1,35 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+purpose: DSGVO Audit-Relevance — Skill-Auto-Loading-Trigger.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen Verordnungs-Volltext verifizieren"
+last-verified: 2026-05-05
+---
+
+# DSGVO — Audit-Relevance
+
+## Auto-Loading-Trigger (immer Pflicht)
+
+DSGVO ist Pflicht-Layer fuer JEDES Audit (auch B2B, auch wenn keine Endkunden-Daten).
+
+## Pflicht-Surfaces
+
+| Surface | DSGVO-Art. | Skill-Layer |
+|---|---|---|
+| Datenschutzerklaerung-Inhalt | 13, 14 | `audit-patterns.md` Phase 4 |
+| Cookie-Banner | 6 lit. a, 7 | `audit-patterns.md` Phase 5 + `gesetze/TDDDG/` |
+| Auskunftsanfrage | 15 | API-Route |
+| Account-Delete | 17 | API-Route + UGC-Pattern Phase 5c |
+| Datenexport | 20 | API-Route |
+| AVV-Listung | 28 | DSE-Section |
+| Drittland-Hinweis | 44, 45, 46, 49 | `international.md` |
+| Datenpanne | 33 (72h), 34 | `audit-patterns.md` Phase 5 |
+| KI-Komponente | 22, 35 | `gesetze/EU-Verordnungen/AI-Act-2024-1689/` |
+| TOMs | 32 | `it-recht.md` NIS2-Layer |
+| Sondersensible Daten | 9, 35 | DSFA-Trigger |
+
+## Cross-Reference
+
+- Vollstaendiger Artikel-Auszug: `gesetze/DSGVO/articles.md`
+- Audit-Pattern: `audit-patterns.md`
+- Bgh-Urteile zu DSGVO: `bgh-urteile.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/articles.md

@@ -0,0 +1,111 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+last-checked: 2026-05-01
+purpose: EU AI Act (VO 2024/1689) — Audit-relevante Artikel für Web/SaaS mit KI-Komponente.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+
+# EU AI Act (VO 2024/1689) — Audit-relevante Artikel
+
+> In Kraft seit 01.08.2024. Anwendbarkeit gestaffelt:
+> - Verbotene Praktiken (Art. 5): seit **02.02.2025** anwendbar
+> - General-Purpose-AI (GPAI): seit **02.08.2025**
+> - Hochrisiko-Systeme: ab **02.08.2026**
+> - Volle Anwendung: ab **02.08.2027**
+
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+
+## Art. 3 — Begriffsbestimmungen
+
+KI-System (Nr. 1): „maschinenbasiertes System, autonom betreibbar, anpassungsfähig, generiert Outputs (Vorhersagen, Inhalte, Empfehlungen, Entscheidungen) aus Eingaben, beeinflusst physische oder virtuelle Umgebungen"
+
+**Audit-Relevanz:** alles was LLM-API ruft (OpenAI, Anthropic, Mistral) ist KI-System.
+
+## Art. 5 — Verbotene KI-Praktiken (in Kraft 02.02.2025)
+
+Verboten:
+- Subliminal-Manipulation
+- Vulnerability-Exploitation (Kinder, Behinderung, soziale Lage)
+- Social Scoring
+- Predictive Policing (rein KI-basiert)
+- Untargeted Face-Image-Scraping (Clearview-Pattern)
+- Emotion-Recognition am Arbeitsplatz und in Bildung
+- Biometrische Kategorisierung nach sensiblen Merkmalen
+- Real-time Remote Biometric Identification in öffentlich zugänglichen Räumen (Ausnahmen für Strafverfolgung)
+
+**Audit-Relevanz:** Web/SaaS-Audit prüft, dass keine dieser Praktiken implementiert ist.
+
+## Art. 6 — Hochrisiko-KI-Systeme
+
+Annex I (KI in regulierter Produkt-Kategorie) + Annex III (Hochrisiko-Use-Cases):
+- Annex III Nr. 1: Biometrische Identifizierung
+- Annex III Nr. 2: Kritische Infrastruktur
+- Annex III Nr. 3: Bildung + Berufsausbildung (z.B. Bewerber-Bewertung)
+- **Annex III Nr. 4: Beschäftigung + Personalverwaltung** (Recruiting-AI, Performance-AI)
+- Annex III Nr. 5: Zugang zu wesentlichen privaten/öffentlichen Diensten (Credit-Scoring, Sozialleistungen)
+- Annex III Nr. 6: Strafverfolgung
+- Annex III Nr. 7: Migration + Grenzkontrolle
+- Annex III Nr. 8: Justiz + demokratische Prozesse
+
+**Audit-Relevanz:** wenn ein SaaS einen dieser Use-Cases macht → Pflichten nach Art. 8–15:
+- Risikomanagement-System (Art. 9)
+- Daten-Governance (Art. 10)
+- Technische Doku (Art. 11)
+- Logging (Art. 12)
+- Transparenz + Information (Art. 13)
+- Menschliche Aufsicht (Art. 14)
+- Genauigkeit + Cybersecurity (Art. 15)
+
+## Art. 27 — Grundrechte-Folgenabschätzung (FRIA)
+
+Pflicht bei Hochrisiko-KI: vor Inbetriebnahme Folgenabschätzung der Grundrechte.
+
+**Audit-Relevanz:** ähnlich DSFA, aber für Grundrechte (nicht nur Datenschutz). Für AI-Driven HR-Tools / Credit-Scoring Pflicht.
+
+## Art. 50 — Transparenz-Pflichten für bestimmte KI-Systeme (in Kraft 02.08.2026)
+
+- Abs. 1: KI-Systeme die mit natürlichen Personen interagieren MÜSSEN diese darüber informieren, dass sie mit KI interagieren
+- Abs. 2: Synthetic Audio/Image/Video/Text MÜSSEN als „künstlich erzeugt" gekennzeichnet werden (Wasserzeichen / Metadata)
+- Abs. 3: Emotion-Recognition + biometrische Kategorisierung — Information der betroffenen Person
+- Abs. 4: Deep Fakes — kennzeichnungspflichtig
+- Abs. 5: KI-generierte Texte zu Themen öffentlichen Interesses — Pflicht-Hinweis (außer für redaktionelle Kontrolle, Satire, etc.)
+
+**Audit-Relevanz für JEDES SaaS mit Chatbot oder LLM-Komponente:**
+- Sichtbarer KI-Hinweis im Chat-UI (nicht nur in DSE)
+- Disclaimer bei medizin-/jurist-/finanz-relevanten Antworten („ersetzt keine fachliche Beratung")
+- Bei AI-generated Bildern/Videos: Wasserzeichen oder explizite Kennzeichnung
+- Pet-Care AI / Health-Adjacent: Disclaimer „ersetzt keine tier-/ärztliche Beratung"
+
+## Art. 53–55 — General-Purpose-AI (GPAI) Modelle
+
+GPAI-Anbieter (z.B. OpenAI, Anthropic, Mistral) haben spezielle Pflichten:
+- Technische Doku
+- Transparenz für Downstream-Anwender
+- Copyright-Compliance (Art. 53 Abs. 1 lit. c)
+- Bei System-Risk-Modellen (>10^25 FLOPs): zusätzliche Anforderungen (Art. 55)
+
+**Audit-Relevanz für Web/SaaS:** Auswahl LLM-Provider — DPA des Anbieters muss EU-AI-Act-konform sein. Anthropic + Mistral haben eigene Compliance-Doku.
+
+## Art. 99 — Sanktionen
+
+- bis 35 Mio. € oder 7% globaler Jahresumsatz: bei Verstößen gegen Art. 5 (verbotene Praktiken)
+- bis 15 Mio. € oder 3%: andere Verstöße
+- bis 7,5 Mio. € oder 1%: falsche Auskünfte (Art. 99 Abs. 5 AI-Act)
+
+---
+
+## Audit-Mapping (Web/SaaS-Skill-Auto-Loading)
+
+| Audit-Surface | AI-Act-Art. |
+|---------------|-------------|
+| Chatbot mit User-Interaktion | Art. 50 Abs. 1 |
+| AI-generated Content | Art. 50 Abs. 2/4/5 |
+| HR-AI / Bewerber-Screening | Annex III Nr. 4 + Art. 6 |
+| Kreditwürdigkeits-AI | Annex III Nr. 5 + Art. 6 |
+| Bildungs-AI / Coaching-Bewertung | Annex III Nr. 3 + Art. 6 |
+| Health-Adjacent AI | je nach Use-Case + Art. 50 |
+| LLM-Provider-Auswahl | Art. 53–55 (Provider-Pflichten) |
+| Verbotene KI | Art. 5 (sofort prüfen) |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/audit-relevance.md

@@ -0,0 +1,139 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+last-checked: 2026-05-02
+purpose: AI Act Audit-Relevance — Auto-Loading-Trigger und Pflicht-Surfaces fuer Skill.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+
+# AI Act — Audit-Relevance fuer brutaler-anwalt
+
+## Wann triggert dieser Skill den AI-Act-Layer?
+
+Auto-Loading-Trigger:
+
+```
+1. Tech-Stack-Detection package.json grep:
+   - @anthropic-ai/sdk
+   - openai (npm)
+   - @mistralai/mistralai
+   - @google/generative-ai
+   - @azure/openai
+   - replicate
+   - cohere-ai
+   - @huggingface/inference
+
+2. Page-Content-Detection:
+   - "/chat" / "/assistant" / "/ai" Routes
+   - <iframe src="*chatbot*"> oder ähnliches
+   - Floating Chat-Widget im DOM (typische Selectors: [data-chatbot], #chat-widget)
+   - "AI generated" / "KI generiert" Text-Match
+   - Synthetic-Image-Generation (text-to-image API-Endpoints)
+
+3. Branchen-Trigger:
+   - HR-Tech / Recruiting (Annex III Nr. 4)
+   - Fintech mit Bonity-Score (Annex III Nr. 5.b)
+   - Telemedizin / Health-AI (Annex III Nr. 5.d)
+   - EdTech mit Auto-Grading / Proctoring (Annex III Nr. 3)
+   - KRITIS-Sektor (Annex III Nr. 2)
+```
+
+## Pflicht-Surfaces fuer Audit
+
+Pro KI-Komponente:
+
+### Surface 1 — UI-Transparenz (Art. 50)
+
+| Check | Verify |
+|---|---|
+| Chatbot-Hinweis sichtbar im Chat-UI | DOM-Probe: `<div data-chatbot> ... mit "AI" / "KI"-Label` |
+| AI-Image-Output mit Wasserzeichen | C2PA-Manifest-Check, PNG-Metadata |
+| Deep-Fake-Disclosure | UI-Audit |
+
+### Surface 2 — Daten-Governance (Art. 10, fuer Hochrisiko)
+
+| Check | Verify |
+|---|---|
+| Trainings-Daten-Quelle dokumentiert | DSE / VVT-Eintrag |
+| Trainings-Daten-Bias-Bewertung | interne Doku |
+| Repraesentative Trainings-Set | externe Pruefung empfohlen |
+
+### Surface 3 — Technische Doku (Art. 11)
+
+| Check | Verify |
+|---|---|
+| Anhang IV Tech-Doku vorhanden | interner Vault |
+| System-Architektur dokumentiert | tech-design.md |
+| Inputs / Outputs / Limitationen | API-Doku |
+
+### Surface 4 — Logging (Art. 12)
+
+| Check | Verify |
+|---|---|
+| Auto-Logging der KI-Outputs | Audit-Trail-Implementierung |
+| Aufbewahrung > 6 Monate (oder gemaess Risikoanalyse) | Cron-Job + DB-Schema |
+
+### Surface 5 — Menschliche Aufsicht (Art. 14)
+
+| Check | Verify |
+|---|---|
+| Override-Mechanismus fuer KI-Entscheidung | UI-Audit |
+| Stop-Button oder Eskalationspfad | UI-Audit |
+| Klarmacherung dass User Endentscheidung trifft | UI-Wording |
+
+### Surface 6 — Vendor-Compliance
+
+| Check | Verify |
+|---|---|
+| GPAI-Provider hat Art. 53 Tech-Doku | Vendor Trust-Center |
+| AVV / DPA datiert auf 2025+ | DPA-Stand |
+| Copyright-Policy explizit | Vendor-FAQ |
+
+### Surface 7 — DSE / AGB
+
+| Check | Verify |
+|---|---|
+| Art. 50-Hinweis in DSE | grep DSE |
+| Hochrisiko-Klassifikation in DSE genannt (wenn relevant) | grep DSE |
+| AVV mit AI-Vendor in AVV-Liste | grep DSE |
+| KI-VO-Disclaimer in AGB (RDG-Abgrenzung bei Tech-Generators) | grep AGB |
+
+## Schadens-Diagnose-Pattern (Skill-Output)
+
+Pro AI-Act-Verstoss:
+
+```
+**Finding**: Chatbot ohne KI-Hinweis in UI (Art. 50 Abs. 1)
+**Wahrsch.**: 65% (B2C-Site, Behoerde-Folgekontrolle ab Q3 2026 wahrscheinlich)
+**Kritikalitaet**: 🟡 HOCH (ab 02.08.2026 vollstaendig anwendbar)
+**§**: Art. 50 Abs. 1 i.V.m. Art. 99 Abs. 4 KI-VO
+**€-Range KMU**: 50.000–500.000 (fahrlässig, erste Auffaelligkeit, nach KMU-Privileg Art. 99 Abs. 6)
+**Belege**:
+- VO 2024/1689 Art. 50 Abs. 1
+- Erwgr. 132-134 (Transparenz-Begruendung)
+**Fix**:
+- Sichtbarer Disclaimer im Chat-UI „Sie chatten mit einem KI-System"
+- Bei Erstkontakt: Modal mit Bestaetigung
+- Code-Pattern: siehe `references/stack-patterns/ai/`-Files
+**Worst-Case-Frist**: ab 02.08.2026 sofortige Behoerden-Pruefung moeglich (Marktueberwachungsbehoerde
+nach Art. 70).
+```
+
+## Cross-References (Skill-Reference-Loading)
+
+| Wenn HUNTER findet... | Lade zusaetzlich... |
+|---|---|
+| Recruiting-Tool mit AI-CV-Screening | `branchenrecht.md` HR-Tech + § 26 BDSG + BetrVG § 87 |
+| Bonity-Scoring-Tool | `bgh-urteile.md` C-634/21 SCHUFA + Art. 22 DSGVO |
+| Telemedizin-Diagnose-AI | `branchenrecht.md` Telemedizin + MDR-Layer |
+| AI-Bilder-Generator | `transparenz-art-50.md` Abs. 2 (C2PA) |
+| Deep-Fake-Tool | `transparenz-art-50.md` Abs. 4 |
+| AI-News-Aggregator | `transparenz-art-50.md` Abs. 5 |
+| GPAI-Provider integriert | `gpai-pflichten.md` Art. 53 + AVV-Check |
+
+## Source
+
+- [eur-lex.europa.eu — VO 2024/1689](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689)
+- AI Office: https://digital-strategy.ec.europa.eu/de/policies/ai-office

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/gpai-pflichten.md

@@ -0,0 +1,102 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+last-checked: 2026-05-02
+purpose: GPAI-Pflichten (General Purpose AI) Art. 51-56 + System-Risk-Modelle.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext (Art. 51-56 AI Act) verifizieren"
+last-verified: 2026-05-05
+---
+
+# AI Act — GPAI / Foundation Models Pflichten (Art. 51-56)
+
+> GPAI = General-Purpose AI Models. Anwendbar seit **02.08.2025**.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+
+## Definition (Art. 3 Nr. 63 / Art. 51)
+
+GPAI = KI-Modell mit signifikanter Allgemeinheit, das ein breites Spektrum unterschiedlicher Aufgaben kompetent durchfuehren kann, unabhaengig davon wie es in den Markt gebracht wird.
+
+**Beispiele**: GPT-Familie, Claude-Familie, Mistral Large/Codestral, Gemini, LLaMA-Familie, Falcon, Mixtral, etc.
+
+## Standard-GPAI-Pflichten (Art. 53)
+
+Jeder GPAI-Anbieter:
+
+1. **Technische Dokumentation** (Art. 53 Abs. 1 lit. a + Anhang XI):
+   - Architektur, Training-Methodik, Compute-Aufwand
+   - Bereitstellung an Aufsicht (AI Office) + downstream-Anbieter
+
+2. **Downstream-Information** (Art. 53 Abs. 1 lit. b + Anhang XII):
+   - Informationen + Doku fuer Anbieter die GPAI in eigene KI-Systeme integrieren
+   - Capability-Beschreibung, Limitationen, Acceptable-Use-Policy
+
+3. **Copyright-Compliance** (Art. 53 Abs. 1 lit. c):
+   - Policy zur Einhaltung von Art. 4 Abs. 3 RL 2019/790 (Text-and-Data-Mining-Schranke)
+   - Ablehnungs-Erklaerung der Rechteinhaber respektieren (`robots.txt` / `Open-Future` / etc.)
+
+4. **Training-Data-Summary** (Art. 53 Abs. 1 lit. d):
+   - Detaillierter, oeffentlich zugaenglicher Summary der Training-Daten
+   - Format-Vorlage von AI Office vorgegeben
+
+## System-Risk-GPAI-Pflichten (Art. 51 Abs. 1 lit. a + Art. 55)
+
+Wenn GPAI als „System-Risk" eingestuft (Schwelle: kumulative Compute > 10^25 FLOPs zum Training), zusaetzlich:
+
+1. **Model-Evaluation** (Art. 55 Abs. 1 lit. a):
+   - State-of-the-art Eval-Protokolle (Adversarial / Red-Teaming)
+   - Veroeffentlichung wesentlicher Erkenntnisse
+
+2. **Risk-Assessment** (Art. 55 Abs. 1 lit. b):
+   - System-Risk-Identifikation, -Mitigation, -Reporting an AI Office
+
+3. **Incident-Reporting** (Art. 55 Abs. 1 lit. c):
+   - Schwerwiegende Vorfaelle + Korrekturmassnahmen unverzueglich melden
+
+4. **Cybersecurity** (Art. 55 Abs. 1 lit. d):
+   - Modell- und Infrastruktur-Schutz auf state-of-the-art
+
+## Code-of-Practice (Art. 56)
+
+- AI Office veroeffentlicht Branchen-Code-of-Practice (verbindlich-machbar via Art. 56 Abs. 9)
+- Aktueller Stand 2026: erste GPAI-Code-of-Practice-Iteration verabschiedet (Mai 2025)
+- Quelle: https://digital-strategy.ec.europa.eu/de/policies/ai-code-practice
+
+## Audit-Relevanz fuer Web-/SaaS-Audits
+
+Wenn die Site einen GPAI-Provider integriert (OpenAI / Anthropic / Mistral / etc.), pruefe:
+
+| Check | Pflicht-Quelle |
+|---|---|
+| Vendor-Compliance mit Art. 53 (Technical Doc + Copyright + Training-Summary) | Vendor-Trust-Center |
+| Vendor ist System-Risk-eingestuft? | Vendor-Disclosure |
+| Vendor-AVV/DPA erfuellt EU-AI-Act-Pflichten? | DPA |
+| Eigene App nutzt GPAI fuer Hochrisiko-Use-Case (Annex III)? | Audit Annex III |
+| Output-Generierung nach Art. 50 zu kennzeichnen? | siehe `transparenz-art-50.md` |
+| Feinabstimmungs-Anbieter-Pflichten (wenn Site eigenes Modell trainiert basierend auf GPAI)? | Art. 53 Abs. 4 |
+
+## Cross-Stack-Pattern
+
+```bash
+# Pflicht-Checks fuer Skill-Audit eines KI-integrierenden Site
+# 1. AVV / DPA des GPAI-Providers vorhanden?
+grep -irE "openai.com/policies|anthropic.com/legal|mistral.ai/terms" \
+  src/components/legal/ src/app/datenschutz/
+
+# 2. AI-Act-Hinweis in DSE
+curl -s https://example.com/datenschutz | grep -ic "AI Act\|KI-Verordnung\|VO.*2024.*1689"
+```
+
+## Sanktionen
+
+Verstoss gegen Art. 53 (GPAI Standard-Pflichten):
+- bis 15 Mio. EUR oder 3% globaler Jahresumsatz (Art. 99 Abs. 4)
+
+Verstoss gegen Art. 55 (System-Risk-Pflichten):
+- bis 15 Mio. EUR oder 3% (Art. 99 Abs. 4) — schaerfer in der Praxis durch System-Risk-Charakter
+
+## Source
+
+- [eur-lex.europa.eu — VO 2024/1689 Art. 51-56](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689)
+- [European Commission — GPAI Code of Practice](https://digital-strategy.ec.europa.eu/de/policies/ai-code-practice)
+- [AI Office — Erlaeuterungen GPAI](https://digital-strategy.ec.europa.eu/de/policies/ai-office)