@aegis-scan/skills 0.4.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/hochrisiko-annex-iii.md

@@ -0,0 +1,134 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+last-checked: 2026-05-02
+purpose: AI Act Anhang III — vollstaendige 8-Bereiche-Hochrisiko-Liste mit Audit-Trigger pro Use-Case.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext (Anhang III AI Act) verifizieren"
+last-verified: 2026-05-05
+---
+
+# AI Act — Anhang III Hochrisiko-Use-Cases (vollstaendig)
+
+> Anhang III der VO 2024/1689 listet die Use-Cases die als „Hochrisiko" gelten und damit
+> Pflichten Art. 8-15 (Risikomanagement / Daten / Doku / Logging / Transparenz / Aufsicht /
+> Genauigkeit) sowie Art. 27 (FRIA) ausloesen.
+>
+> Quelle: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689#anx_3
+
+## Bereich 1 — Biometrik
+
+### 1.a Remote Biometrische Identifizierung
+- KI-Systeme zur biometrischen Fern-Identifikation natuerlicher Personen.
+- **Audit-Trigger**: Site-API mit Face-Recognition / Voice-ID / Gait-Analysis gegen Datenbank.
+- **Pflichten**: vollstaendige Annex-III-Pflichten + Art. 27 FRIA.
+
+### 1.b Biometrische Kategorisierung
+- KI zur Kategorisierung anhand sensitiver Merkmale (politische Meinung, religioese Ueberzeugungen, sexuelle Orientierung etc.).
+- **Audit-Trigger**: User-Profiling-System mit demographic-inference-Outputs.
+
+### 1.c Emotionserkennung
+- KI zur Erkennung von Emotionen aus biometrischen Daten.
+- **Audit-Trigger**: Sentiment-AI im Customer-Service-Chat / HR-Interview-Tools.
+- **Hinweis**: am Arbeitsplatz + in Bildung Art. 5 Abs. 1 lit. f komplett verboten.
+
+## Bereich 2 — Kritische Infrastruktur
+
+### 2.a Sicherheitskomponenten in kritischen Infrastrukturen
+- KI als Sicherheitskomponente in Verkehr, Wasser, Gas, Heizung, Strom, digitalen Infrastrukturen.
+- **Audit-Trigger**: KRITIS-Sektor (NIS2/CER-RL-Bezug) mit AI-gestuetzter Anomalie-Erkennung / Verkehrssteuerung.
+
+## Bereich 3 — Bildung und Berufsausbildung
+
+### 3.a Zulassung / Bewertung in Bildungseinrichtungen
+- KI zur Bewerber-Aufnahme oder Pruefungs-Auswertung.
+- **Audit-Trigger**: EdTech-Plattform mit Auto-Grading, Adaptive-Learning-Score-Output.
+
+### 3.b Zuteilung zu Bildungsstufen
+- KI zur Zuweisung von Personen zu Bildungs- oder Berufsausbildungsstufen.
+
+### 3.c Pruefungs-Gleichbehandlung
+- KI zur Bewertung des Lernergebnisses bei Pruefungen.
+
+### 3.d Pruefungs-Ueberwachung (Proctoring)
+- KI zur Erkennung von Pruefungs-Betrug.
+- **Audit-Trigger**: Online-Proctoring-Tool im EdTech / Zertifizierungs-Pruefungs-Kontext.
+
+## Bereich 4 — Beschaeftigung und Personalverwaltung
+
+### 4.a Bewerber-Screening / Recruiting-AI
+- KI zur Auswahl, Filterung, Bewertung von Bewerbern.
+- **Audit-Trigger**: ATS-Systeme mit AI-gestuetzter CV-Bewertung, Auto-Rejection-Pipelines.
+- **Pflichten zusaetzlich**: § 26 BDSG (Beschaeftigtendaten) + BetrVG § 87 Abs. 1 Nr. 6 (Mitbestimmung).
+
+### 4.b Befoerderung / Kuendigung / Aufgaben-Zuteilung
+- KI zur Entscheidung ueber Befoerderung, Kuendigung, Aufgaben.
+- **Audit-Trigger**: Performance-Tracking mit Auto-PIP-Trigger, Skill-Matching-AI.
+
+### 4.c Verhaltens- / Persoenlichkeits-Bewertung
+- KI zur Bewertung von Mitarbeiter-Verhalten oder Persoenlichkeit.
+
+## Bereich 5 — Zugang zu wesentlichen privaten und oeffentlichen Diensten
+
+### 5.a Anspruch auf Sozialleistungen
+- KI zur Pruefung der Anspruchsberechtigung fuer staatliche Leistungen.
+
+### 5.b Kreditwuerdigkeits-/Bonitaets-Bewertung
+- KI zur Bonitaets-Einschaetzung.
+- **Audit-Trigger**: Fintech-Apps mit Scoring-Algorithmus, Buy-Now-Pay-Later mit AI-Underwriting.
+- **Pflichten zusaetzlich**: Art. 22 DSGVO (automatisierte Entscheidung) + Schufa-Linie EuGH C-634/21.
+
+### 5.c Notruf-Triage
+- KI zur Priorisierung in Notfalldiensten.
+
+### 5.d Krankenversicherungs- und Lebensversicherungs-Risikobewertung
+- KI zur Versicherungs-Risiko-Einschaetzung bei Lebens- und Gesundheitsversicherungen.
+- **Audit-Trigger**: InsurTech mit Health-Score / Premium-Berechnung-AI.
+
+## Bereich 6 — Strafverfolgung
+
+### 6.a Polygraf / Lie-Detection (in dem Umfang, in dem es zulaessig ist)
+### 6.b Beweis-Auswertung / Aussagen-Plausibilisierung
+### 6.c Profiling fuer Strafverfolgungs-Zwecke
+### 6.d Crime-Analytics
+- **Audit-Trigger**: meist staatlich, kommerziell selten — wenn Site fuer LE-Dienstleister entwickelt → kompletter Annex-III-Stack + Art. 27 FRIA.
+
+## Bereich 7 — Migration, Asyl, Grenzkontrollen
+
+### 7.a Polygraf bei Grenze
+### 7.b Risikobewertung Sicherheits-/Migrations-/Gesundheits-Risiken bei Einreise
+### 7.c Asyl-Antrag-Vorbearbeitung
+### 7.d Identitaets-Pruefung an Grenzen
+- **Audit-Trigger**: nur staatlich oder zertifizierte Grenz-Service-Provider relevant.
+
+## Bereich 8 — Justiz und demokratische Prozesse
+
+### 8.a Recherche-/Auslegungs-AI fuer Justiz
+- KI als Recherche- oder Auslegungs-Hilfe fuer Justizbehoerden.
+- **Audit-Trigger**: Legal-Tech-Tools fuer Gerichte / Staatsanwaltschaft / Anwaelte mit AI-Drafting.
+- **Hinweis**: kommerzielle Legal-Tech ist haeufig im Grenzbereich — pruefe Smartlaw-Linie BGH I ZR 113/20.
+
+### 8.b Wahlen / Wahl-Empfehlungen / Wahlbeeinflussung
+- KI zur Beeinflussung des Wahlverhaltens (auch Empfehlung).
+
+---
+
+## Audit-Mapping (Skill-Trigger pro App-Typ)
+
+| App-Typ | Annex-III-Bereich | Pflichten |
+|---|---|---|
+| Recruiting-Plattform mit AI-CV-Screening | 4.a | Annex III + Art. 27 FRIA + § 26 BDSG + BetrVG § 87 |
+| Telemedizin / Diagnose-AI | 5.b/5.d (Versicherung), evtl. 1.c (Emotion) | Annex III + ggf. MDR-Hochrisiko |
+| Fintech mit Bonity-Scoring | 5.b | Annex III + Art. 22 DSGVO + EuGH C-634/21 SCHUFA |
+| EdTech mit Auto-Grading / Proctoring | 3.a / 3.d | Annex III + DSGVO Art. 22 |
+| KRITIS-Sektor mit AI-Anomalie | 2.a | Annex III + NIS2 + CER-RL |
+| Customer-Service-Chat mit Sentiment | 1.c (Emotion) | Annex III (Bildung/Arbeit-Verbot pruefen) |
+
+## Sanktion bei Hochrisiko-Verstoss
+
+Art. 99 Abs. 4: bis 15 Mio. EUR oder 3% globaler Jahresumsatz — siehe `sanktionen-art-99.md`.
+
+## Source
+
+- [eur-lex.europa.eu — VO 2024/1689 Anhang III](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689#anx_3)
+- [European Commission — AI Act Annex III FAQ](https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/sanktionen-art-99.md

@@ -0,0 +1,97 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+last-checked: 2026-05-02
+purpose: AI Act Art. 99 — Sanktionsskala mit Anwendungs-Beispielen.
+---
+
+# AI Act — Art. 99 Sanktionen (3-Stufen-Skala)
+
+> Art. 99 in Kraft seit 02.08.2025 (gestaffelt mit Hochrisiko-Pflichten).
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689#art_99
+
+## Stufe 1 — Verbotene Praktiken (Art. 99 Abs. 3)
+
+**Bis 35 Mio. EUR oder 7% globaler Jahresumsatz** (der hoehere Betrag).
+
+**Auslöser**: Verstoss gegen Art. 5 (Verbotene KI-Praktiken):
+- Subliminal-Manipulation
+- Vulnerability-Exploitation
+- Social Scoring
+- Predictive Policing (rein KI-basiert)
+- Untargeted Face-Image-Scraping
+- Emotion-Recognition am Arbeitsplatz / in Bildung
+- Biometrische Kategorisierung nach sensiblen Merkmalen
+- Real-time Remote Biometric Identification (Strafverfolgung mit Ausnahmen)
+
+## Stufe 2 — Andere Verstoesse (Art. 99 Abs. 4)
+
+**Bis 15 Mio. EUR oder 3% globaler Jahresumsatz** (der hoehere Betrag).
+
+**Aussloeser**: Verstoss gegen:
+- Art. 6-15 (Hochrisiko-KI-Pflichten — Risikomanagement, Daten-Governance, Doku, Logging, Transparenz, Aufsicht, Genauigkeit)
+- Art. 16-29 (Pflichten Anbieter / Importeur / Distributor)
+- Art. 50 (Transparenz-Pflichten — Chatbot-Hinweis, Synthetic-Content-Watermark, Deep-Fake-Disclosure)
+- Art. 51-55 (GPAI-Pflichten — Standard + System-Risk)
+- Art. 31-39 (Behoerden-Pflichten + Pruefung)
+
+## Stufe 3 — Falsche Informationen (Art. 99 Abs. 5)
+
+**Bis 7,5 Mio. EUR oder 1% globaler Jahresumsatz** (der hoehere Betrag).
+
+**Aussloeser**: bei der Bereitstellung von Informationen an die zustaendigen Behoerden:
+- falsche Informationen
+- unvollstaendige Informationen
+- irrefuehrende Informationen
+
+## Sanktions-Bemessungs-Faktoren (Art. 99 Abs. 7)
+
+Aufsichtsbehoerden beruecksichtigen bei der Bemessung:
+
+| Faktor | Effekt |
+|---|---|
+| Art / Schwere / Dauer / Folgen des Verstosses | erhoehend |
+| Anzahl betroffener Personen + Schaden-Hoehe | erhoehend |
+| Vorsatz vs Fahrlaessigkeit | Vorsatz erhoehend |
+| Massnahmen zur Schadensminimierung | mildernd |
+| Vorherige Verstoesse desselben Anbieters | erhoehend |
+| Kooperation mit Aufsichtsbehoerde | mildernd |
+| Kategorien betroffener Daten / Personen | erhoehend bei sensiblen |
+| Art und Weise der Kenntniserlangung der Behoerde | mildernd bei Selbstanzeige |
+| Einhaltung Verhaltensregeln / Zertifizierungen | mildernd |
+| Finanzielle Vorteile aus dem Verstoss | erhoehend |
+
+## KMU-Privileg (Art. 99 Abs. 6)
+
+Fuer KMU + Startups (Begriffsbestimmung KOM-Empfehlung 2003/361/EG):
+- Bei der Bemessung der Sanktion **muss** die Behoerde KMU-Status beruecksichtigen
+- Niedriger Betrag der prozentualen Schwellen + absoluter Hoechstbetrag (je nach was niedriger ist)
+
+## EU-AI-Act vs. DSGVO Art. 83 — Kombinations-Risiko
+
+**WICHTIG fuer Skill-Output**: AI-Act-Verstoss UND DSGVO-Verstoss koennen kumulativ verfolgt werden.
+
+Beispiel: AI-System mit Hochrisiko-Use-Case + keine FRIA (Art. 27) + keine Daten-Governance (Art. 10):
+- AI-Act Art. 99 Abs. 4: bis 15 Mio. / 3%
+- DSGVO Art. 83 Abs. 5 (wenn Art. 22 verletzt): bis 20 Mio. / 4%
+- **Kombiniert: bis 35 Mio. / 7%** (in der Praxis kumulativ je nach Behoerden-Praxis).
+
+## Audit-Output-Empfehlung (Skill)
+
+Wenn HUNTER einen Hochrisiko-AI-Use-Case ohne Annex-III-Compliance findet:
+
+```
+## Schadens-Diagnose
+
+| Verstoss | Stufe | EUR-Range KMU | Az. / Quelle |
+|---|---|---|---|
+| Hochrisiko-AI ohne Risikomanagement (Art. 9) | Art. 99 Abs. 4 | 50.000–500.000 | EU-VO 2024/1689 Art. 99 Abs. 4 + Abs. 6 KMU-Privileg |
+| Kombinations-Risiko mit DSGVO Art. 22 | Art. 83 Abs. 5 | +50.000–250.000 | EuGH C-634/21 SCHUFA |
+| Behoerden-Anhoerung-Verzoegerung | Art. 99 Abs. 5 | 25.000–150.000 | Art. 99 Abs. 5 |
+```
+
+## Source
+
+- [eur-lex.europa.eu — VO 2024/1689 Art. 99](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689#art_99)
+- [European Commission — AI Act Sanktionen FAQ](https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai)
+- [KOM-Empfehlung 2003/361/EG (KMU-Definition)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32003H0361)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/transparenz-art-50.md

@@ -0,0 +1,120 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+last-checked: 2026-05-02
+purpose: AI Act Art. 50 — Transparenz-Pflichten fuer Chatbots / Synthetic Content / Deepfakes / KI-Texte.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext (Art. 50 AI Act) verifizieren"
+last-verified: 2026-05-05
+---
+
+# AI Act — Art. 50 Transparenz-Pflichten (anwendbar 02.08.2026)
+
+> Art. 50 ist DER zentrale Audit-Anker fuer Web/SaaS-Sites mit KI-Komponente.
+> Anwendbar ab **02.08.2026** (24 Monate nach Inkrafttreten des AI Act 01.08.2024).
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689#art_50
+
+## Anwendungsbereich
+
+Art. 50 gilt fuer:
+- **Anbieter** von KI-Systemen, die mit natuerlichen Personen interagieren (Abs. 1)
+- **Anbieter** von Synthetic-Audio/Image/Video/Text-Systemen (Abs. 2)
+- **Betreiber** (Deployer) eines Emotionserkennungs- oder biometrischen Kategorisierungs-KI-Systems (Abs. 3)
+- **Betreiber** eines Deep-Fake-erzeugenden KI-Systems (Abs. 4)
+- **Betreiber** eines KI-Systems, das Texte zu Themen oeffentlichen Interesses generiert (Abs. 5)
+
+## Abs. 1 — Chatbot-Hinweis-Pflicht
+
+> „Anbieter stellen sicher, dass KI-Systeme, die zur unmittelbaren Interaktion mit natuerlichen Personen bestimmt sind, so konzipiert und entwickelt werden, dass natuerliche Personen darueber informiert werden, dass sie mit einem KI-System interagieren."
+
+**Audit-Trigger**: jede Site mit Chatbot-Widget, AI-Voice-Assistant, AI-Customer-Service-Tool.
+
+**Pflicht-Wording (Vorschlag)**:
+- Sichtbarer Hinweis im Chat-UI: „Sie chatten mit einem KI-System." / „This is an AI assistant."
+- NICHT nur in Datenschutzerklaerung versteckt — direkt am UI-Touchpoint
+- Beim ersten Chat-Open: dezidiertes Modal oder Banner
+
+**Ausnahme**: wenn aufgrund der Umstaende offensichtlich ist (z.B. ChatGPT-Style Plattform-Branding bei dem User schon weiss).
+
+## Abs. 2 — Synthetic-Content-Kennzeichnung
+
+> „Anbieter (...) sorgen dafuer, dass die Outputs des KI-Systems in einem maschinenlesbaren Format gekennzeichnet sind und als kuenstlich erzeugt oder manipuliert erkennbar sind."
+
+**Pflicht-Mechanismus**:
+- **Wasserzeichen / Provenance-Metadata**: C2PA Content-Credentials (Adobe-Initiative), SynthID (Google-DeepMind), CryptoSeal (OpenAI)
+- **Maschinenlesbar**: nicht nur visuell, auch im Datei-Header (z.B. EXIF mit C2PA-Manifest)
+
+**Audit-Trigger**: Site generiert AI-Bilder, AI-Videos, AI-Audio, AI-Text — z.B. Marketing-Generator, Social-Media-Tools, Image-Editor mit AI-Funktion.
+
+**Code-Pattern**:
+```ts
+// Wasserzeichen in AI-generated images
+import { createC2PAManifest } from '@adobe/c2pa-node';
+
+const manifest = createC2PAManifest({
+  claim_generator: 'YourBrandName/v1',
+  format: 'image/jpeg',
+  assertions: [
+    { label: 'c2pa.actions', data: { actions: [{ action: 'c2pa.generated' }] } },
+    { label: 'c2pa.creative_work', data: { '@type': 'CreativeWork', author: [{ '@type': 'Organization', name: 'Brand' }] } }
+  ]
+});
+```
+
+## Abs. 3 — Emotionserkennung / Biometrische Kategorisierung
+
+> „Betreiber eines Emotionserkennungssystems oder eines biometrischen Kategorisierungssystems setzen die natuerlichen Personen, die der Funktionsweise unterliegen, davon in Kenntnis (...)."
+
+**Audit-Trigger**: Customer-Service-AI mit Sentiment-Analyse, AI-Hiring-Tool mit Stimmen-Analyse.
+
+**Hinweis**: am Arbeitsplatz und in Bildung Art. 5 Abs. 1 lit. f Verbot — siehe `articles.md` Art. 5.
+
+## Abs. 4 — Deep-Fake-Pflicht
+
+> „Betreiber eines KI-Systems, das Bilder oder Audio- oder Videoinhalte erzeugt oder manipuliert, die als Deepfake gelten, geben offen bekannt, dass diese Inhalte kuenstlich erzeugt oder manipuliert wurden."
+
+**Audit-Trigger**: Site mit Face-Swap, Voice-Cloning, AI-Avatar-Generator.
+
+**Ausnahme** (Abs. 4 Satz 2): bei „offensichtlich kuenstlerischen, kreativen, satirischen, fiktionalen oder analogen Werken" reicht „angemessene Kennzeichnung", die kuenstlerische Wirkung nicht beeintraechtigt.
+
+## Abs. 5 — KI-Text zu Themen oeffentlichen Interesses
+
+> „Betreiber eines KI-Systems, das Texte erzeugt oder manipuliert, die veroeffentlicht werden, um die Oeffentlichkeit ueber Angelegenheiten von oeffentlichem Interesse zu unterrichten, geben offen bekannt, dass der Text kuenstlich erzeugt oder manipuliert wurde."
+
+**Ausnahme**: bei „menschlicher Pruefung oder redaktioneller Kontrolle" und „natuerlicher Person oder juristischer Person, die die redaktionelle Verantwortung traegt".
+
+**Audit-Trigger**: Online-Medien / Blogs mit AI-Text-Generator, News-Aggregator mit AI-Summaries.
+
+**Pflicht-Wording**: „Dieser Artikel wurde mit KI-Unterstuetzung generiert." (im Footer / am Anfang).
+
+## Audit-Checkliste (fuer Skill)
+
+Pro Audit-Surface:
+
+| Surface | Art. 50-Pflicht | Verify-Command |
+|---|---|---|
+| Chatbot-Widget | Abs. 1 — KI-Hinweis im UI | `curl -s https://example.com \| grep -iE "ai-system\|kuenstliche intelligenz\|chatbot ist"` |
+| AI-Image-Generator | Abs. 2 — Wasserzeichen + maschinenlesbar | C2PA-Manifest-Check |
+| AI-Voice-Service | Abs. 2 + Abs. 4 (wenn Voice-Cloning) | Audio-Header-Check |
+| Customer-Sentiment-AI | Abs. 3 — Pre-Use-Information | UI-Audit |
+| Deep-Fake-Generator | Abs. 4 — Kennzeichnung | UI + Output-Watermark |
+| AI-News-Aggregator | Abs. 5 — Hinweis im Artikel | Article-Footer-Audit |
+
+## Sanktionen Art. 99 Abs. 4
+
+Verstoss gegen Art. 50:
+- bis 15 Mio. EUR oder 3% globaler Jahresumsatz
+
+Bei „falschen, unvollstaendigen oder irrefuehrenden Informationen" gegenueber Behoerden zusaetzlich Art. 99 Abs. 5: bis 7,5 Mio. EUR oder 1%.
+
+## Cross-Reference
+
+- AGB-Audit-Pattern: `audit-patterns.md` Phase 5e (AI-Chatbot-DSGVO-Audit)
+- Hochrisiko-Use-Cases: `hochrisiko-annex-iii.md`
+- Sanktionen: `sanktionen-art-99.md`
+
+## Source
+
+- [eur-lex.europa.eu — VO 2024/1689 Art. 50](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689#art_50)
+- [TUEV Rheinland — Transparenzpflichten EU AI Act Art. 50](https://consulting.tuv.com/aktuelles/ki-im-fokus/transparenzpflichten-eu-ai-act-art-50)
+- [C2PA — Content Provenance Standard](https://c2pa.org/specifications/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/AI-Act-2024-1689/uebergangsfristen.md

@@ -0,0 +1,109 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+last-checked: 2026-05-02
+purpose: AI Act Uebergangs-Timeline mit Pflicht-Aktionen je Stichtag.
+verification-status: verified
+skill-output-disclaimer: "Top-Layer-verifiziert (eur-lex.europa.eu) — Stichtage 02.02.2025 / 02.08.2025 / 02.08.2026 / 02.08.2027 primaer-verifiziert"
+last-verified: 2026-05-05
+---
+
+# AI Act — Uebergangsfristen-Timeline
+
+> VO 2024/1689 in Kraft seit **01.08.2024**. Anwendbarkeit gestaffelt nach Art. 113.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689
+
+## Timeline mit Pflicht-Aktionen pro Stichtag
+
+### 01.08.2024 — In-Kraft-Treten
+
+- AI-Act ist im Amtsblatt veroeffentlicht und in Kraft.
+- **Aktion**: noch keine Pflichten direkt aus AI-Act.
+
+### 02.02.2025 — Verbotene KI-Praktiken (Art. 5)
+
+- Art. 1, 2, 3, 5, 7-9, 99 Abs. 1-2-3-7-9-10-11 (Sanktionen-Rahmen)
+- **Aktion fuer JEDEN AI-betreibenden Operator**:
+  - Self-Audit gegen Art. 5 (sind verbotene Praktiken implementiert?)
+  - Wenn ja: Stilllegung VOR 02.02.2025
+  - Bei NICHT-Stilllegung: Art. 99 Abs. 3 — bis 35 Mio. EUR / 7%
+
+**Audit-Frage**: tut die Site etwas aus Art. 5? (Subliminal / Social-Scoring / Vuln-Exploit / etc.)
+
+### 02.08.2025 — GPAI-Pflichten (Art. 51-56)
+
+- Art. 51-56 + Art. 99 Abs. 4 (Sanktionen GPAI) anwendbar
+- **Aktion**:
+  - GPAI-Anbieter: Technische Doku + Downstream-Information + Copyright-Policy + Training-Summary
+  - System-Risk-GPAI-Anbieter (Compute > 10^25 FLOPs): zusaetzlich Model-Eval + Risk-Assessment + Incident-Reporting + Cybersecurity
+  - Code-of-Practice akzeptiert oder eigene Compliance-Strategie
+
+**Audit-Frage**: Welche GPAI-Provider werden integriert? (OpenAI / Anthropic / Mistral / etc.) — sind deren AVV/DPAs AI-Act-konform?
+
+### 02.08.2026 — Hochrisiko + Transparenz + komplette Anbieter-Pflichten
+
+**Massiv-Stichtag**. Anwendbar wird:
+- Art. 6-49 (Hochrisiko-KI-Pflichten + Anbieter-Pflichten + Importeur/Distributor)
+- Art. 50 (Transparenz-Pflichten — Chatbot / Synthetic / Deep-Fake / KI-Texte)
+- Art. 27 (FRIA — Grundrechte-Folgenabschaetzung)
+
+**Aktion fuer JEDEN AI-betreibenden Operator**:
+1. **Annex-III-Self-Audit** — laeuft mein Use-Case unter Hochrisiko? (siehe `hochrisiko-annex-iii.md`)
+2. Wenn ja:
+   - Risikomanagement-System aufsetzen (Art. 9)
+   - Daten-Governance dokumentieren (Art. 10)
+   - Technische Doku Pflicht (Art. 11)
+   - Logging implementieren (Art. 12)
+   - Transparenz-Wording an Endnutzer (Art. 13)
+   - Menschliche Aufsicht sichergestellt (Art. 14)
+   - Genauigkeit + Cybersecurity geprueft (Art. 15)
+   - FRIA durchfuehren (Art. 27)
+   - Konformitaetsbewertung + CE-Kennzeichen (Art. 16-29 + Anhang VII)
+3. Art. 50 Transparenz fuer ALLE Sites mit KI-Komponente:
+   - Chatbot-Hinweis im UI
+   - AI-Image/Video/Audio-Wasserzeichen
+   - Deep-Fake-Disclosure
+   - KI-Text-Hinweis bei oeffentlichem Interesse
+
+**Audit-Risk bei Stichtag-Verfehlung**: Art. 99 Abs. 4 — bis 15 Mio. EUR / 3% Jahresumsatz.
+
+### 02.08.2027 — Vollstaendige Anwendung
+
+- Art. 6 Abs. 1 (Hochrisiko-Definition fuer KI in regulierten Produkt-Kategorien — Annex I)
+- Restliche Uebergangs-Pflichten ausgelaufen
+
+**Aktion**: KI in regulierten Produkten (Maschinen-RL, Medizinprodukte, Spielzeug, Aufzuege, etc.) muss komplette Annex-III-Hochrisiko-Pflichten erfuellen.
+
+## Audit-Compliance-Tracker (fuer Skill-Output)
+
+```
+| Stichtag | Pflicht | Status (Solo-Vibecoder) | Risiko bei Verfehlung |
+|---|---|---|---|
+| 02.02.2025 | Keine Art. 5-Praktiken | wahrscheinlich erfuellt (selten implementiert) | 35M / 7% |
+| 02.08.2025 | GPAI-Vendor-DPA-Check | Vendor-Pflicht, Operator pruefen | Vendor-Risiko, fuer Operator hauptsaechlich AVV-Pflicht |
+| 02.08.2026 | Annex-III + Art. 50 | hier liegt 80% des Audit-Werts | 15M / 3% |
+| 02.08.2027 | Komplett-Compliance | nur bei Maschinen/Medizin/Spielzeug etc. relevant | 15M / 3% |
+```
+
+## Zukunftsplanung — was jetzt schon in DSE / AGB hineinschreiben?
+
+Vorschlag fuer DSE-Erweiterung in 2026:
+
+> **KI-Verordnung (EU 2024/1689)**
+> Diese Webseite nutzt KI-Komponenten (siehe Abschnitt [X]). Wir folgen der EU-KI-Verordnung
+> (VO 2024/1689) gemaess folgendem Plan:
+> - Seit 02.02.2025: Wir betreiben keine nach Art. 5 KI-VO verbotenen Praktiken.
+> - Seit 02.08.2025: Unsere KI-Provider erfuellen die GPAI-Pflichten gemaess Art. 51-56.
+> - Ab 02.08.2026: Wir kennzeichnen alle KI-generierten Inhalte gemaess Art. 50 KI-VO.
+
+## Cross-Reference
+
+- Hochrisiko-Use-Cases: `hochrisiko-annex-iii.md`
+- Art. 50 Transparenz: `transparenz-art-50.md`
+- GPAI: `gpai-pflichten.md`
+- Sanktionen: `sanktionen-art-99.md`
+
+## Source
+
+- [eur-lex.europa.eu — VO 2024/1689 Art. 113](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32024R1689#art_113)
+- [European Commission — AI Act Timeline](https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/CER-2022-2557/articles.md

@@ -0,0 +1,42 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557
+last-checked: 2026-05-02
+purpose: CER-RL — Resilienz kritischer Einrichtungen (physische Sicherheit). Skeleton.
+status: skeleton
+---
+
+# CER-RL — RL 2022/2557 (Skeleton)
+
+> Umsetzungsfrist 17.10.2024. Pendant zu NIS2 fuer **physische Sicherheit** kritischer Einrichtungen.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557
+
+## Anwendungsbereich
+
+11 Sektoren (mit NIS2-Ueberlappung):
+- Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, oeffentliche Verwaltung, Raumfahrt, Lebensmittel-Produktion.
+
+## Pflichten
+
+- Risk-Assessment fuer physische + Cyber-Risiken
+- Resilienz-Plan
+- Notfall-Plan + Uebung
+- Mitarbeiter-Hintergrundpruefung (security clearance)
+- Meldepflichten
+
+## DE-Umsetzung
+
+KRITIS-Dachgesetz (KritisDachG) — Stand 2026-05 noch in Verhandlung.
+
+## Audit-Relevanz
+
+KMU-Vibecoder: nicht direkt. Indirekt: wenn als Sub-Provider fuer KRITIS-Operator → Vertragsklauseln.
+
+## Defer-Marker
+
+> **Vollstaendige Bearbeitung in v4.1**.
+
+## Source
+
+- [eur-lex.europa.eu — RL 2022/2557](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557)
+- [BBK CER-Page](https://www.bbk.bund.de/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/CRA-2024-2847/articles.md

@@ -0,0 +1,87 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847
+last-checked: 2026-05-02
+purpose: Cyber Resilience Act — Sicherheitspflichten fuer Produkte mit digitalen Elementen.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+
+# CRA — VO 2024/2847
+
+> Schrittweise ab 11.12.2024 (Reporting), volle Anwendung **11.12.2027**.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847
+
+## Anwendungsbereich
+
+Pflicht fuer **Produkte mit digitalen Elementen** = Hardware + Software die in EU vertrieben werden:
+- IoT-Geraete (Smart-Home, Wearables, Industrial IoT)
+- Software-Produkte (ausser SaaS — separate Cloud-Regeln)
+- Komponenten (z.B. Microcontroller, Firmware, Libraries)
+
+NICHT erfasst:
+- SaaS / Cloud-Dienste (separat NIS2 / DORA)
+- Free + Open-Source Software (FOSS) AUSSER kommerziell vertrieben
+- Bereits-regulierte Produkte (Medizinprodukte, KFZ, Luftfahrt etc.)
+
+## Klassifikation (Art. 6 + Anhang III + IV)
+
+| Klasse | Beispiel | Compliance-Pfad |
+|---|---|---|
+| Default | LED-Lampen, viele IoT-Sensoren | Self-Assessment + CE-Mark |
+| Important Class I | Browser, Passwort-Manager, VPN-Clients | Self-Assessment / Konformitaetspruefung |
+| Important Class II | Smart-Cards, Hypervisors, Container-Runtime | Konformitaetspruefung Pflicht |
+| Critical | Identity-Management Systems | volle Pruefung + Zertifizierung |
+
+## Pflichten
+
+### Cybersecurity-by-Design (Art. 13 + Anhang I)
+
+- Default-Sicherheitskonfiguration
+- Vulnerability-Management
+- Authentifizierung + Zugriffskontrolle
+- Verschluesselung
+- Datenminimierung
+- Update-Mechanismus
+
+### Vulnerability-Reporting (Art. 14)
+
+- Aktive Vulnerability-Pflicht
+- 24-Stunden-Erstmeldung an ENISA + Behoerde
+- Updates + Patches Pflicht
+
+### Update-Verpflichtung (Art. 13 + Anhang I)
+
+- Update-Bereitstellung waehrend Erwartungs-Lebensdauer
+- Mind. 5 Jahre
+
+## Sanktionen (Art. 64)
+
+- Wesentliche Verstoesse: bis 15 Mio. EUR oder 2,5% globaler Jahresumsatz
+- Sonstige Verstoesse: bis 10 Mio. EUR oder 2%
+- Falsche Informationen: bis 5 Mio. EUR oder 1%
+
+## Audit-Relevanz
+
+Wenn Site-Operator IoT-Hardware oder Software-Produkt vertreibt: kompletter CRA-Stack.
+Wenn nur SaaS: NICHT direkt CRA, aber NIS2 / DORA / DSGVO-Layer.
+
+## Audit-Pattern
+
+```
+**Finding**: IoT-Hersteller ohne Vulnerability-Reporting-Prozess
+**Wahrsch.**: 60% (ENISA + BSI Pruefungen ab 2025)
+**§**: Art. 14 CRA
+**€-Range KMU**: 50.000-2.000.000 EUR
+**Fix**:
+- security.txt nach RFC 9116
+- Coordinated Vulnerability Disclosure Policy
+- Update-Mechanismus-Doku
+- 24h-ENISA-Reporting-Procedure
+```
+
+## Source
+
+- [eur-lex.europa.eu — VO 2024/2847](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847)
+- [ENISA CRA-Page](https://www.enisa.europa.eu/topics/cyber-resilience-act)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/CSDDD-2024-1760/articles.md

@@ -0,0 +1,43 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L1760
+last-checked: 2026-05-02
+purpose: CSDDD — Lieferketten-Sorgfalt EU. Skeleton + Defer-Marker.
+status: skeleton
+---
+
+# CSDDD — RL 2024/1760 (Skeleton)
+
+> **Umsetzungsfrist 26.07.2027.** Stufenweise Anwendung 2027-2029 nach Unternehmensgroesse.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L1760
+
+## Anwendungsbereich
+
+Stufenweise:
+- ab 2027: > 5.000 MA + > 1,5 Mrd. EUR Umsatz (EU)
+- ab 2028: > 3.000 MA + > 900 Mio. EUR Umsatz
+- ab 2029: > 1.000 MA + > 450 Mio. EUR Umsatz
+
+## Sorgfalt entlang der Lieferkette
+
+- Identifikation von Menschenrechts- + Umwelt-Risiken
+- Praeventionsmassnahmen
+- Beschwerde-Mechanismus
+- Klimaplan + 1,5°C-Ziel
+
+## Audit-Relevanz
+
+KMU-Vibecoder: nicht direkt anwendbar (KMU-Privileg). Aber als Lieferant grosser Unternehmen koennen Pflichten kaskadieren.
+
+## Defer-Marker
+
+> **Vollstaendige Bearbeitung in v4.2** wenn KMU-relevante Klauselsketten klar.
+
+## DE-Pendant
+
+LkSG (Lieferkettensorgfaltsgesetz) — bereits in Kraft seit 01.01.2023 fuer > 1.000 MA.
+
+## Source
+
+- [eur-lex.europa.eu — RL 2024/1760](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L1760)
+- [LkSG (DE)](https://www.gesetze-im-internet.de/lksg/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/CSRD-2022-2464/articles.md

@@ -0,0 +1,42 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2464
+last-checked: 2026-05-02
+purpose: CSRD — ESG-Reporting-Pflicht. Skeleton + Defer-Marker.
+status: skeleton
+---
+
+# CSRD — RL 2022/2464 (Skeleton)
+
+> **Stufenweise Anwendung ab 2024.**
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2464
+
+## Anwendungsbereich
+
+Stufenweise:
+- 2024 (fuer Geschaeftsjahr 2024): > 500 MA + grosse-EU-Public-Interest-Entitaeten
+- 2025: > 250 MA + > 40 Mio. EUR Umsatz / > 20 Mio. EUR Bilanzsumme
+- 2026: alle EU-borderlinhen + KMUs (mit reduzierten Pflichten)
+- 2028: Drittland-Unternehmen mit EU-Aktivitaet > 150 Mio. EUR
+
+## Pflicht-Inhalte
+
+ESRS (European Sustainability Reporting Standards):
+- E1-E5: Umwelt-Themen (Klimawandel, Verschmutzung, Wasser, Biodiversitaet, Kreislaufwirtschaft)
+- S1-S4: Soziale Themen (Arbeitskraefte, Lieferkette, Verbraucher, betroffene Communities)
+- G1: Governance + Geschaeftsethik
+
+## Audit-Relevanz
+
+KMU-Vibecoder: nicht direkt (KMU-Privileg). Indirekt:
+- Lieferant grosser Unternehmen → Daten-Anforderungen kaskadieren
+- Marketing-Claim „klimaneutral" / „nachhaltig" → CSRD-Konsistenz pruefen + UWG-Greenwashing-Verbot
+
+## Defer-Marker
+
+> **Vollstaendige Bearbeitung in v4.2**.
+
+## Source
+
+- [eur-lex.europa.eu — RL 2022/2464](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2464)
+- [EFRAG ESRS](https://www.efrag.org/lab6)