npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DGA-2022-868/articles.md ADDED Viewed

@@ -0,0 +1,53 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R0868
+last-checked: 2026-05-02
+purpose: DGA (Data Governance Act) — Skeleton + Defer-Marker fuer v4.1.
+status: skeleton
+---
+# DGA — VO 2022/868 (Skeleton)
+> **Anwendbar seit 24.09.2023.**
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R0868
+## Anwendungsbereich
+DGA reguliert:
+- **Daten-Vermittler** (Data Intermediation Services Provider)
+- **Daten-Altruismus-Organisationen** (Data Altruism Organisations)
+- **Wiederverwendung von Public-Sector-Daten**
+## Kernregelungen
+### Daten-Vermittler (Art. 10-15)
+Pflicht-Notifikation bei Behoerde:
+- Geschaeftsmodell offenlegen
+- Strukturelle Trennung von Mehrwertdiensten
+### Daten-Altruismus (Art. 16-25)
+Anerkannte Daten-Altruismus-Organisation:
+- Non-Profit-Status
+- Spezielle Compliance-Pflichten
+- EU-Register-Eintragung
+### Public-Sector-Daten (Art. 3-9)
+Wiederverwendung kostenlos / mit Gebuehr / kommerziell.
+## Audit-Relevanz
+KMU-Vibecoder: meist nicht relevant. Ausnahme:
+- Site bietet **Daten-Vermittlungs-Service** (z.B. Datenmarktplatz, B2B-Daten-Portal)
+- Site nutzt **Public-Sector-Daten** (z.B. Open-Government-Data)
+## Defer-Marker
+> **Vollstaendige Bearbeitung in v4.1**: Pflicht-Inhalt fuer Daten-Vermittler-Notifikation, Daten-Altruismus-Anerkennung-Verfahren, Public-Sector-Daten-Lizenz-Klauseln. Skeleton hier ausreichend bis konkreter Use-Case auftaucht.
+## Source
+- [eur-lex.europa.eu — VO 2022/868](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R0868)
+- [European Data Strategy](https://digital-strategy.ec.europa.eu/de/policies/data-governance-act)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DMA-2022-1925/articles.md ADDED Viewed

@@ -0,0 +1,55 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925
+last-checked: 2026-05-02
+purpose: DMA (Digital Markets Act) — Skeleton + Defer-Marker fuer v4.1.
+status: skeleton
+---
+# DMA — VO 2022/1925 (Skeleton)
+> **Anwendbar seit 07.03.2024.**
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925
+## Anwendungsbereich
+DMA gilt fuer **Gatekeeper** mit:
+- >= 75 Mrd. EUR Marktkapitalisierung ODER
+- >= 7,5 Mrd. EUR Jahresumsatz EU
+- >= 45 Mio. monatlich aktive End-Nutzer EU
+- >= 10.000 jaehrlich aktive Geschaeftsnutzer EU
+Aktuelle Gatekeeper (Stand 2026-05): Apple, Google, Meta, Amazon, Microsoft, Booking.com, ByteDance.
+## Kernregelungen (Art. 5-6)
+- Verbot Self-Preferencing eigener Dienste
+- Verbot Combining-Data ueber Plattformen ohne Consent
+- Verbot Tying / Bundling von Diensten
+- Pflicht Interoperabilitaets-APIs (z.B. Messaging)
+- Pflicht Sideloading-Erlaubnis (Apple AppStore)
+- Pflicht Suchergebnis-Neutralitaet
+- Pflicht Daten-Portabilitaets-Tools
+## Sanktionen (Art. 30)
+- bis 10% globaler Jahresumsatz
+- bei Wiederholung bis 20%
+## Audit-Relevanz
+**KMU/SMB-Vibecoder**: in der Praxis nicht direkt betroffen. Indirekt:
+- Gatekeeper-API-Nutzung (z.B. Apple Pay, Google Pay) — Vertragsklauseln entsprechen jetzt DMA-Pflichten
+- Interoperabilitaets-API-Verfuegbarkeit (z.B. cross-platform Messaging)
+Skill-Layer fuer KMU/SMB: knapp anwenden, ggf. nur als „Hintergrund-Information" in Audit-Output.
+## Defer-Marker
+> **Vollstaendige Bearbeitung in v4.1**: Detaillierte Pflicht-Inhalte je Gatekeeper-Pflicht (Art. 5-6) + DE-Umsetzung + Code-of-Conduct + Behoerden-Mechanismus mit konkreten Beispielen (z.B. Apple Pay Open-API-Pflicht, Google Search-Neutralitaet, Meta Cross-Service-Combining-Verbot). Aktuell als Skeleton-Marker fuer KMU/SMB-Vibecoder ausreichend — direkter Use-Case selten.
+## Source
+- [eur-lex.europa.eu — VO 2022/1925](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925)
+- [European Commission — DMA Page](https://digital-markets-act.ec.europa.eu/)
+- [DMA Designated Gatekeepers](https://digital-markets-act.ec.europa.eu/gatekeepers_en)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DORA-2022-2554/articles.md ADDED Viewed

@@ -0,0 +1,164 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554
+last-checked: 2026-05-02
+purpose: DORA (Digital Operational Resilience Act) — IKT-Risikomanagement fuer Finanzbranche.
+verification-status: verified
+skill-output-disclaimer: "Top-Layer-verifiziert (eur-lex.europa.eu) — Art. 19-Frist-Kaskade + Anwendbarkeit primaer-verifiziert"
+last-verified: 2026-05-05
+---
+# DORA — VO 2022/2554
+> **Anwendbar seit 17.01.2025.** Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554
+> Verordnung ueber digitale operationelle Resilienz im Finanzsektor.
+## Anwendungsbereich (Art. 2)
+Gilt fuer:
+- Kreditinstitute (KWG-Erlaubnis)
+- Zahlungsdienstleister (PSD2)
+- E-Geld-Institute
+- Wertpapierfirmen (WpHG)
+- Krypto-Asset-Service-Provider (CASP, MiCA)
+- Zentralverwahrer
+- Versicherer + Rueckversicherer
+- Pensionsfonds
+- Ratingagenturen, Datenbereitstellungsdienste
+- Crowdfunding-Dienstleister
+- IKT-Drittanbieter (subsidiaer)
+**KMU-Privileg**: kleine oder unverflochtene Wertpapierfirmen sind teilweise befreit (Art. 16).
+## Art. 5-15 — IKT-Risikomanagement
+### Art. 5 — Governance
+- Geschaeftsleitung bestaetigt + ueberwacht IKT-Risikomanagement-Rahmen
+- Persoenliche Verantwortlichkeit der Geschaeftsleitung
+### Art. 6 — IKT-Risikomanagement-Rahmen
+Pflicht-Inhalte:
+- Strategie, Ziele, Policies
+- Risk-Tolerance-Statement
+- Incident-Response-Plan
+- Backup + Recovery-Plan
+- Klassifikation der IKT-Funktionen
+### Art. 7 — IKT-Systeme + Kontrollen
+- Inventarisierung kritischer IKT-Systeme
+- Verschluesselung at-rest + in-transit
+- Zugriffskontrolle (RBAC, MFA, Privilege-Management)
+- Capacity-Management
+### Art. 8-9 — Identifikation + Schutz
+- Asset-Inventar
+- Threat-Intelligence-Feed
+- Verwundbarkeits-Management
+### Art. 10 — Detection
+- Real-time Monitoring
+- Anomaly-Detection
+- Logging Pflicht (mind. 12 Monate Aufbewahrung)
+### Art. 11 — Response + Recovery
+- Recovery-Time-Objective (RTO)
+- Recovery-Point-Objective (RPO)
+- Business-Continuity-Plan
+- Disaster-Recovery-Plan
+### Art. 12 — Backup-Policies
+- Mind. 1 Kopie offline / immutable
+- Test der Wiederherstellbarkeit jaehrlich
+### Art. 13 — Lerne-aus-Vorfaellen
+- Post-Incident-Review
+- Lessons-Learned-Doku
+### Art. 14 — Kommunikation
+- Krisenkommunikations-Plan
+- Behoerden-Kommunikations-Pflicht
+## Art. 17-23 — IKT-Vorfall-Meldung
+### Art. 17 Abs. 1 — Klassifikation
+Vorfall-Klassifizierung nach:
+- Anzahl betroffener User
+- Dauer der Stoerung
+- Geographische Reichweite
+- Daten-Verlust
+- Wirtschaftliche Auswirkung
+### Art. 19 — Meldepflichten
+| Stufe | Frist | Empfaenger |
+|---|---|---|
+| **Erstmeldung** | spaetestens **4h** ab Klassifizierung als „major" UND max. **24h** ab Kenntnisnahme des Vorfalls | Zustaendige Behoerde (BaFin in DE) |
+| **Zwischenbericht** | binnen **72h** ab Erstmeldung | BaFin |
+| **Abschlussbericht** | binnen **1 Monat** ab Loesung des Vorfalls | BaFin |
+> Konkretisiert in den Joint-RTS/ITS der ESAs (JC 2024/33, finalisiert 17.07.2024).
+> Fristen wurden mit NIS2 harmonisiert.
+## Art. 24-27 — Threat-Led Penetration Testing (TLPT)
+Fuer wichtige Finanzdienstleister: alle 3 Jahre TLPT (TIBER-EU-konform).
+## Art. 28-44 — IKT-Drittanbieter-Risiko
+### Art. 28 — Drittanbieter-Strategie
+Geschaeftsleitung verantwortlich fuer Auswahl, Steuerung, Ueberwachung von IKT-Drittanbietern.
+### Art. 30 — Vertragspflichtinhalte
+Bei jedem IKT-Drittanbieter-Vertrag:
+- Beschreibung Funktionen
+- Service-Level-Agreement
+- Datenstandort
+- Sub-Outsourcing-Bedingungen
+- Audit-Rechte
+- Exit-Strategie
+- Sicherheitsanforderungen
+### Art. 31 — Kritische IKT-Drittanbieter
+EU-Kommission designiert „kritische" IKT-Drittanbieter (z.B. Hyperscaler AWS / Azure / GCP).
+Diese unterliegen direkter EU-Aufsicht.
+## Art. 45-49 — Information Sharing
+Cybersecurity-Informationen koennen unter Finanzdienstleistern ausgetauscht werden (in Tatbestaenden geregelt).
+## Sanktionen
+DE-Umsetzung in BaFin-Zustaendigkeit + KWG / WpHG / VAG nach Branche:
+- bis 1% Jahresumsatz fuer schwere Verstoesse (Art. 50)
+- bis 10% bei Wiederholung
+- Plus: Veroeffentlichung des Verstosses
+## Audit-Relevanz fuer Skill
+DORA betrifft Finanzdienstleister-Sites direkt. KMU-Vibecoder als Operator selten Finanz-Lizenz, aber als Sub-Auftragsverarbeiter (z.B. SaaS fuer Banken) → DORA-Pflichten kaskadieren via Vertrag (Art. 30).
+Skill-Output bei Finanz-Branche-Detection:
+```
+**Finding**: Site bietet Service an Finanzdienstleister → DORA-Sub-Auftragsverarbeiter
+**Pflicht**: Vertrag muss Art. 30 DORA-Klauseln erfuellen
+**Audit**: AVV / DPA gegen Art. 30-Pflichtinhalt mappen
+```
+## Source
+- [eur-lex.europa.eu — VO 2022/2554](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554)
+- [BaFin — DORA-Aufsicht](https://www.bafin.de/DE/Aufsicht/RisikenManagement/Cyber/cyber_node.html)
+- [Lamfalussy ESA — DORA RTS](https://www.eba.europa.eu/regulation-and-policy/operational-resilience)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DORA-2022-2554/audit-relevance.md ADDED Viewed

@@ -0,0 +1,86 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554
+last-checked: 2026-05-02
+purpose: DORA — Audit-Trigger und Pflicht-Surfaces fuer Skill.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# DORA — Audit-Relevance
+## Wann triggert dieser Skill den DORA-Layer?
+Auto-Loading-Trigger:
+```
+1. Branchen-Detection:
+   - URL-Pattern: *-bank.*, *-fintech.*, *-versicherung.*, *-trading.*, *-exchange.*
+   - schema.org @type: BankOrCreditUnion, FinancialService, InsuranceCompany
+   - Tech-Stack: Aktien-Trading-Frameworks, MiCA-CASP-spezifische SDKs
+2. Customer-Indication:
+   - Site bewirbt: "fuer Banken / Versicherer / Trading"
+   - DPA-Liste enthaelt Finanz-Kunden
+3. Compliance-Hint:
+   - SOC 2 / ISO 27001 / BSI-Grundschutz-Erwaehnung
+   - "BaFin-konform" / "DORA-konform" Marketing-Claim
+```
+## Pflicht-Surfaces nach Status
+### Status A — Site selbst ist Finanzdienstleister
+Vollstaendiger DORA-Stack:
+- Art. 5-15 IKT-Risikomanagement
+- Art. 17-23 Incident-Reporting (24h/72h/1M Fristen)
+- Art. 24-27 TLPT (alle 3 Jahre)
+- Art. 28-44 Drittanbieter-Risiko
+### Status B — Site ist Sub-Auftragsverarbeiter fuer Finanzdienstleister
+Pflichten kaskadieren via Vertrag (Art. 30 DORA):
+| Vertragsklausel | Pflichtinhalt |
+|---|---|
+| SLA | Verfuegbarkeit + Response-Times definiert |
+| Datenstandort | EU-Region oder Sondervereinbarung |
+| Sub-Outsourcing | Operator-Vorab-Genehmigung |
+| Audit-Rechte | Onsite-Audit + Document-Zugriff |
+| Exit-Strategie | Migration-Pfad + Daten-Rueckgabe |
+| Sicherheitsanforderungen | mind. ISO 27001 / SOC 2 / BSI-Grundschutz |
+| Incident-Reporting | 24h-Erstmeldung an Operator |
+### Status C — Site bietet Finanz-Themen-Beratung an
+(z.B. Robo-Advisor, Fintech-Comparison-Tool):
+Pflichten je nach KWG/WpHG-Status:
+- Erlaubnispflicht KWG / WpHG / ZAG?
+- Anlegerinformations-Pflichten
+## Audit-Pattern (Skill-Output-Vorschlag)
+```
+**Finding**: SaaS bietet Hosted-Service fuer Versicherungs-Kunden ohne DORA-konformen Vertrag
+**Wahrsch.**: 60% (BaFin-Pruefungen 2025+ angelaufen, Sub-Auftragsverarbeiter im Fokus)
+**Kritikalitaet**: 🟡 HOCH
+**§**: Art. 30 DORA + indirekt KWG / WpHG / VAG je nach Operator
+**€-Range**: Vertragsstrafe bei Audit-Fail durch Operator + Reputations-Schaden
+**Fix**:
+- Vertragsklauseln gemaess Art. 30 DORA ergaenzen (SLA / Datenstandort / Sub-Outsourcing / Audit-Rechte / Exit / Sicherheit / Incident-Reporting)
+- ISO 27001 / SOC 2-Zertifizierung anstreben (Audit-Trail)
+- Sub-Liste an Finanz-Kunden offen-halten
+```
+## Cross-References
+- ISO 27001 / BSI IT-Grundschutz: `references/it-recht.md`
+- Branche Banking/Fintech/Versicherung: `references/branchenrecht.md`
+- BaFin: https://www.bafin.de/
+## Source
+- [eur-lex.europa.eu — VO 2022/2554](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554)
+- [BaFin DORA-Page](https://www.bafin.de/DE/Aufsicht/RisikenManagement/Cyber/cyber_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DSA-2022-2065/articles.md ADDED Viewed

@@ -0,0 +1,134 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+last-checked: 2026-05-01
+purpose: Digital Services Act (VO 2022/2065) — Pflichten für Online-Plattformen + UGC-Hosting.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# DSA (VO 2022/2065) — Audit-relevante Artikel
+> In Kraft seit 17.02.2024 für alle Plattformen.
+> VLOPs (Very Large Online Platforms) > 45 Mio. EU-User: schon seit 25.08.2023.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+> DE-Umsetzung: DDG (Digitale-Dienste-Gesetz, seit 14.05.2024)
+## Anwendungsbereich
+DSA gilt gestaffelt:
+- Vermittlungsdienste (Mere Conduit, Caching, Hosting): alle, Art. 6–18
+- **Hosting-Provider** (zusätzlich): Art. 16 (Notice-and-Action)
+- **Online-Plattformen**: zusätzlich Art. 19–28 (Marketplace, Social Media, ...)
+- **VLOPs (>45 Mio. User)**: zusätzlich Art. 33–43 (Risk Assessment)
+- **VLOSEs (Very Large Online Search Engines)**: analog VLOPs
+**Audit-Relevanz:** kleine UGC-Sites (Forum, Marketplace) sind „Online-Plattform" wenn nicht „klein" nach Art. 19 (KMU-Privileg < 50 MA + < 10 Mio. € Umsatz).
+## Art. 14 — Allgemeine AGB-Pflichten für Vermittlungsdienste
+Vermittlungsdienste müssen in AGB:
+- Inhaltsmoderations-Kriterien transparent machen
+- Algorithmen-Beschreibung (für Online-Plattformen + VLOPs)
+- klare + verständliche Sprache
+## Art. 16 — Notice-and-Action-Mechanismen
+**Pflicht für JEDEN Hosting-Provider (auch klein):**
+- Leicht zugänglicher elektronischer Mechanismus zur Meldung rechtswidriger Inhalte
+- Pflicht-Felder: Begründung, hinreichend präzise URL, Erklärung des Meldenden, Name + E-Mail
+**Audit-Relevanz:**
+- UGC-Plattform → `/api/<board>/<id>/report`-Endpoint Pflicht
+- Bestätigung an Meldenden
+- Begründete Entscheidung an Inhaltsanbieter (Art. 17)
+- Statement of Reasons öffentlich machen (Art. 17 Abs. 5 → DSA-Datenbank)
+## Art. 17 — Begründung (Statement of Reasons)
+Bei Inhaltsentfernung / Sichtbarkeits-Reduktion / Account-Sperre:
+- Pflicht: präzise Begründung an Betroffenen
+- VLOPs: Statement of Reasons öffentlich in EU-DSA-Database
+## Art. 18 — Meldung Strafverdacht
+Bei Verdacht auf schwere Straftat: unverzüglich Behörden melden.
+## Art. 20 — Internes Beschwerdemanagement-System (für Online-Plattformen)
+Plattformen brauchen internes Verfahren für Beschwerden gegen Moderation-Entscheidungen.
+## Art. 21 — Außergerichtliche Streitbeilegung
+User können nach Art. 21 außergerichtliche Streitbeilegungsstelle anrufen.
+## Art. 22 — Trusted Flaggers
+Bestimmte Organisationen erhalten priorisierte Notice-Bearbeitung.
+## Art. 24 — Transparenzberichte (für Online-Plattformen)
+Jährlicher Bericht über:
+- Notice-and-Action Volumen
+- Eigene Inhaltsmoderation
+- Beschwerden + Entscheidungen
+- Mediante Algorithmen
+## Art. 25 — Dark Patterns verboten
+Plattformen dürfen UI nicht so gestalten dass Nutzer manipuliert werden in:
+- Auswahl-Entscheidungen
+- Konsens-Entscheidungen
+- Default-Settings die zum Nachteil sind
+**Audit-Relevanz:** Cookie-Banner-UX (gleichwertige Buttons), Subscription-Cancel (Verfügbarkeit „Cancel"-Pfad), Confirmshaming.
+## Art. 26 — Werbung-Transparenz
+Werbung in Online-Plattformen:
+- klar als Werbung erkennbar
+- Werbender identifiziert
+- Information wer „bezahlt hat"
+- Hauptparameter der Personalisierung
+## Art. 27 — Empfehlungssysteme
+Online-Plattformen müssen Empfehlungs-Algorithmen erklären (mind. eine Option ohne Profiling).
+## Art. 28 — Kinderschutz
+Werbung an Minderjährige basierend auf Profiling **verboten**.
+## Art. 30 — Marktplatz-Pflichten
+Marketplace-Plattformen müssen Trader-Verifikation:
+- Name, Anschrift, Telefon, E-Mail
+- USt-ID
+- Selbstzertifizierung (nur eigene Produkte)
+- Gewerbliche / private Trader unterscheiden
+**Audit-Relevanz:** Marketplace-Sites (Kleinanzeigen, Pet-Marketplace) müssen Trader-Onboarding mit KYC implementieren.
+## Art. 33 — Sehr große Online-Plattformen (VLOPs)
+> 45 Mio. EU-monatliche-Nutzer. Zusätzliche Pflichten Art. 34–43 (Risk Assessment, Audit, Krise-Response).
+## Art. 52 — Sanktionen
+DE-Umsetzung in DDG §§ 18–22:
+- bis 6% globaler Jahresumsatz für VLOPs (Art. 52 DSA)
+- KMU-Plattformen: bis 50.000 € pro Verstoß
+---
+## Audit-Mapping (Skill-Auto-Loading)
+| Audit-Surface | DSA-Art. |
+|---------------|----------|
+| UGC-Plattform | Art. 16 (Notice-and-Action) |
+| Marketplace | Art. 30 (Trader-Verifikation) |
+| Cookie-Banner-UX (Dark-Pattern) | Art. 25 |
+| Subscription-Cancel-UX | Art. 25 |
+| Werbe-Kennzeichnung | Art. 26 |
+| Kinder-Targeting | Art. 28 |
+| AGB Inhaltsmoderation | Art. 14 |
+| Empfehlungs-Algorithmus | Art. 27 |
+| Beschwerdemanagement | Art. 20 |

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DSA-2022-2065/audit-relevance.md ADDED Viewed

@@ -0,0 +1,110 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+last-checked: 2026-05-02
+purpose: DSA Audit-Relevance — Auto-Loading-Trigger und Pflicht-Surfaces.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# DSA — Audit-Relevance fuer brutaler-anwalt
+## Wann triggert dieser Skill den DSA-Layer?
+Auto-Loading-Trigger:
+```
+1. URL-Pattern-Detection:
+   - /forum, /community, /board (UGC-Forum)
+   - /marketplace, /kleinanzeigen, /shop-by-trader (Marketplace)
+   - /profile/[user], /u/[user] (User-Profil)
+   - /post/[id], /article/[id], /thread/[id] (User-Generated-Content)
+   - /comments, /reviews (User-Comments)
+2. Page-Content-Detection:
+   - "User-Reviews" / "Inserate" / "Anbieter" / "kostenlos einstellen"
+   - DOM-Probe: `<form action*="report">`
+3. Tech-Stack-Detection:
+   - Strapi / Sanity / Contentful (CMS mit User-Submission)
+   - WordPress + Forum-Plugin
+   - Reddit-Style-Plattform-Frameworks
+```
+## Pflicht-Surfaces nach Plattform-Typ
+### Surface 1 — Vermittlungsdienst (Mere Conduit / Caching)
+| Pflicht | Quelle |
+|---|---|
+| AGB (Art. 14) | DDG § 14 |
+| Pruefung auf Hosting-Privileg (DDG §§ 7-10) | bgh-urteile.md C-682/18 YouTube |
+### Surface 2 — Hosting-Provider (alle)
+| Pflicht | Quelle | Verify |
+|---|---|---|
+| AGB-Inhaltsmoderations-Kriterien | DSA Art. 14 | grep agb |
+| Notice-and-Action-Endpoint | DSA Art. 16 | curl POST |
+| Statement of Reasons | DSA Art. 17 | UI-Audit |
+| Strafverdacht-Meldung | DSA Art. 18 | interne Procedure |
+### Surface 3 — Online-Plattform (Hosting + Public-Distribution, > KMU)
+zusaetzlich:
+| Pflicht | Quelle |
+|---|---|
+| Internes Beschwerdemanagement | Art. 20 |
+| Aussergerichtliche Streitbeilegung | Art. 21 |
+| Trusted Flaggers | Art. 22 + `trusted-flaggers.md` |
+| Suspension-bei-Missbrauch | Art. 23 |
+| Transparenzbericht | Art. 24 |
+| Dark-Pattern-Verbot | Art. 25 |
+| Werbe-Transparenz | Art. 26 |
+| Empfehlungs-System Erklaerung | Art. 27 |
+| Kinderschutz | Art. 28 |
+### Surface 4 — Marketplace
+zusaetzlich:
+| Pflicht | Quelle |
+|---|---|
+| Trader-KYC | Art. 30 |
+| Trader-Compliance-by-Design | Art. 31 |
+| Information an Verbraucher | Art. 32 |
+### Surface 5 — VLOP (>= 45 Mio. EU-User)
+zusaetzlich Art. 33-43 — siehe `vlop-vlose.md`
+## Audit-Pattern (Skill-Output-Vorschlag)
+```
+**Finding**: UGC-Plattform ohne Notice-and-Action-Endpoint
+**Wahrsch.**: 90% (DSC-Behoerdenpruefung seit 2024 angelaufen, jeder Hosting-Provider Pflicht)
+**Kritikalitaet**: 🔴 KRITISCH
+**§**: Art. 16 DSA + § 18 DDG
+**€-Range KMU**: 5.000–50.000 EUR (nach DDG-Bussgeldrahmen)
+**Belege**:
+- VO 2022/2065 Art. 16
+- DDG § 18 (DE-Umsetzung)
+**Fix**: API-Route `/api/<board>/<id>/report` implementieren mit Pflicht-Feldern
+(reason, url, goodFaithDeclaration). Code-Pattern siehe `references/gesetze/EU-Verordnungen/DSA-2022-2065/notice-and-action.md`
+```
+## Cross-References
+| Wenn HUNTER findet... | Lade zusaetzlich... |
+|---|---|
+| UGC-Plattform mit Public-PII | `audit-patterns.md` Phase 5c |
+| Marketplace mit Multi-Trader | `branchenrecht.md` Marketplace-Section + Art. 30 |
+| Influencer / Affiliate-Werbung | `audit-patterns.md` Phase 6 + `branchenrecht.md` Influencer-Section |
+| KI-gestuetzte Empfehlungen | Cross zu AI-Act + DSA Art. 27 |
+| Kinder-adressierte Plattform | DSA Art. 28 + JuSchG/JMStV (siehe `gesetze/JuSchG-JMStV/`) |
+## Source
+- [eur-lex.europa.eu — VO 2022/2065](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065)
+- [DDG (DE-Umsetzung)](https://www.gesetze-im-internet.de/ddg/)
+- [DSA Transparency Database](https://transparency.dsa.ec.europa.eu/)