npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/HANDOVER-LO-LIVE-VERIFICATION-2026-05-15.md ADDED Viewed

@@ -0,0 +1,187 @@
+# Handover — Live-Verification der v4.3.0 durch LO
+> **Status**: v4.3.0 ist **infrastructure-complete + autonomously-verified**.
+> Awaiting **Live-Verification + GitHub-Push** fuer full `100% verified` Label.
+> Geschrieben am 2026-05-15 nach autonomem 19-F-Item-Sprint mit 2-Pass-Advisor-Loop.
+> Diese 3 Items KOENNEN nicht vom Agent erledigt werden — sie brauchen LO als Operator.
+---
+## 🎯 LO Action Items (15-20 Minuten)
+### 1) Claude Code Restart
+**Wichtig**: Quit + Reopen, **nicht** nur Fenster schliessen. Plugin-Manifest wird nur
+beim Cold-Start gelesen.
+```
+Cmd+Q (oder System-Quit) → Claude Code von vorn oeffnen
+```
+### 2) Hook-System verifizieren (3 Sub-Tests)
+#### 2a) SessionStart-Hook
+Beim ersten Skill-Aufruf in einer neuen Session: siehst du im Context-Window einen
+Block `# brutaler-anwalt — Reference-INDEX (via SessionStart-Hook)`?
+- **Ja** ✓ → SessionStart-Hook firet
+- **Nein** ✗ → entweder plugin.json nicht gefunden, oder Hook-Format ist anders als von Doku erwartet
+#### 2b) UserPromptSubmit-Hook
+Sage zu Claude:
+```
+Audit DSGVO Datenschutzerklärung gegen Drittland-Pflichten
+```
+Erwartung: Claude antwortet mit konkreten Inhalten aus `references/dsgvo.md` +
+`references/audit-patterns.md` + `references/bgh-urteile.md` ohne dass du diese
+Files manuell vorab gelesen hast. Der Context sollte am Anfang einen Block
+`# brutaler-anwalt — On-Demand-KB-Chunks` enthalten.
+- **Ja** ✓ → UserPromptSubmit-Hook firet + KB-Routing funktioniert
+- **Nein** ✗ → Hook firet nicht, KB-Files nicht auto-loaded
+#### 2c) PostWrite-Hook (kritischster Test — Az.-Provenance-Pflicht)
+Sage zu Claude:
+```
+Erstelle audits/test-hook.md mit Inhalt:
+# Test
+> Haftungsausschluss: Keine Rechtsberatung i.S.d. § 2 RDG.
+## Finding F-001
+Verweis auf BGH I ZR 1234/22 ohne Source (das ist ein Placeholder-Pattern)
+```
+Erwartung: der Write-Versuch wird mit Exit-Code 2 geblockt. Du siehst stderr-
+Output mit `[brutaler-anwalt] HALLUZINATIONS-VERDACHT: ...`. Die Datei wird NICHT
+geschrieben.
+- **Ja** ✓ → PostWrite-Hook firet + Hallucination-Defense funktioniert
+- **Nein** ✗ → Hook firet nicht, Az.-Provenance-Pflicht ist NUR Skill-Logic, nicht enforced
+### 3) Jeden neuen Slash-Command einmal invoken
+Diese Commands existieren als Markdown-Definitionen, aber wurden noch nie wirklich
+ausgefuehrt. **Authoring-Cycle First-Application-Risk** ist real.
+#### 3a) `/anwalt:az-verify BGH I ZR 113/20`
+Erwartung: 3-Stufen-Verification-Output mit Stufen-Ergebnissen + Final-Verdict
+`VERIFIED` fuer dieses Az. (es ist in references/bgh-urteile.md mit Source-URL).
+#### 3b) `/anwalt:cold-start` in einem Test-Projekt
+Z.B. in einem Hundementor- oder Seitengold-Branch. Erwartung: Interview-Flow +
+Auto-Detection aus package.json + Profile-File `.brutaler-anwalt/profile.md`.
+#### 3c) `/anwalt:health`
+Erwartung: 10/10 Checks + Final-Verdict `✓ Health-Check passed`.
+#### 3d) Optional spaeter: `/anwalt:audit` in einem echten Projekt
+Das ist der eigentliche Test ob das ganze System zusammenspielt.
+---
+## 🚀 Distribution via AEGIS (canonical, kein Standalone-Repo)
+> **Update 2026-05-15**: Standalone-GitHub-Repo-Pfad wurde verworfen. Skill ist
+> jetzt vollstaendig in AEGIS-Repo integriert unter
+> `packages/skills/skills/compliance/aegis-native/brutaler-anwalt/`.
+> Der lokale Pfad `~/.claude/skills/brutaler-anwalt` ist ein Symlink auf
+> diese AEGIS-Location — Updates am Skill werden also direkt am AEGIS-Branch
+> gemacht.
+### Workflow
+1. Aenderungen am Skill: direkt in `packages/skills/skills/compliance/aegis-native/brutaler-anwalt/` editieren
+2. Verifikation lokal: `bash <skill-dir>/scripts/health-check.sh` + `bash <skill-dir>/scripts/test-triggers.sh`
+3. Commit per `feat(skills): F-...`-Pattern (AEGIS per-F-protocol)
+4. Push auf `main` (AEGIS-Repo)
+5. AEGIS `publish-skills` CI feuert auf `skills-v*`-Tag — bundled das skills-package mit allen Support-Artifacts (per Skill-Support-Artifact Convention 2026-05-15)
+### Verifikation der CI-Konfiguration
+```bash
+# Lokale Simulation der CI-Invariant-Pruefung:
+find packages/skills/skills -type f ! -name '*.md' \
+  ! -name 'LICENSE' ! -name 'settings.json' ! -name 'streitwerte.json' \
+  ! -path '*/scripts/*.sh' ! -path '*/hooks/*.py' ! -path '*/hooks/*.json' \
+  ! -path '*/.claude-plugin/*.json' ! -path '*/templates/*.example' \
+  ! -path '*/__pycache__/*' ! -name '*.pyc'
+# Erwartung: keine Output-Zeilen (= Invariant haelt)
+```
+### CI-Workflow `.github/workflows/health.yml`
+Existiert als Per-Skill-Workflow im Skill-Verzeichnis, ist im AEGIS-Context aber
+nicht funktional (GitHub-Actions schaut nur in Repo-Root `.github/`). Bleibt als
+Referenz erhalten falls der Skill irgendwann doch separat published wird.
+---
+## 📋 Was JETZT (vor Live-Verification) NICHT belastbar ist
+- „Hooks feuern in der Produktion" — nur Standalone-Python-Tests gemacht (PostWrite-Hook
+  ist jedoch durch realen Customer-Audit Dog-Food-getestet — siehe Battle-Test-Section)
+- „Slash-Commands funktionieren end-to-end" — keiner wurde echt invoked durch Claude-Code-UI
+- AEGIS-Integration done: Skill am canonical-Pfad + Symlink in `~/.claude/skills/`
+## ✅ Was AUCH OHNE Live-Verification belastbar ist
+- 11/11 streitwerte.json Az.-Anker sind im bgh-urteile.md cross-verified
+- 40/40 Trigger-Regression-Tests bestanden
+- 10/10 Health-Check (Brand-Scrub + Az.-Provenance + Verzeichnis + Hooks-Syntax + Plugin-Schema + WebFetch-Allowlist + ReDoS-Audit)
+- Path-Traversal-Defense + Max-Size-Cap (5MB) verifiziert
+- Hook-Matcher-Syntax `"Write|Edit|MultiEdit"` gegen offizielle Doku (code.claude.com) verifiziert: korrekt als „exact-string-OR-list"
+- Battle-Test gegen 4 reale Audit-Files: Hook faengt **60+ historisch-unsourced Az.** (= valid detection, kein FP)
+- 37 Triggers + 49 WebFetch-Tier-1/2-Domains kuratiert
+- 7 Slash-Commands dokumentiert + im Plugin-Manifest registriert
+- CHANGELOG ehrlich gefuehrt mit allen Phase-1-bis-4 Items
+---
+## 🧾 Konkurrenz-Stand nach v4.3.0
+| Feature | brutaler-anwalt v4.3.0 | claude-for-legal (Anthropic) | legal-audit-de | lawbster-mcp |
+|---|---|---|---|---|
+| Adversarial Posture | ✓✓ 5-Persona + Devil's-Advocate + Live-Probe | ✗ explizit excluded | ⚠️ Issue-Spotting | n/a |
+| DE/EU-Tiefe | ✓✓ 14 EU-Verord. + 23 DE-Gesetze + 60 Az. + EUDR + DataAct + CRA + EHDS | ⚠️ GDPR-Sekundaer | ✓ DE/EU-only | ✓ Corpus-Layer |
+| €-Schadens-Quantifizierung | ✓✓ %-Wahrsch. + EUR-Range + Abmahn-Simulation + strukturierte streitwerte.json | ✗ keine | ✗ Severity-CRIT/HIGH/MED/LOW | n/a |
+| Az.-Provenance-Pflicht | ✓✓ 3-Layer (Logic + Permission + Output-Gate + JSON-aware) | ⚠️ `[verify]`-Flag | ⚠️ Tier-1-Whitelist | ✓ Corpus-verified |
+| Hook-System | ✓ 3 Hooks (Session/Prompt/Write) + Bypass-Comment | ⚠️ skill-only | ✓ 3 Hooks | ✗ |
+| Killer-Commands | ✓✓ `/az-verify` + `/dsar-respond` + `/avv-redline` + `/audit` + `/simulate` + `/cold-start` + `/health` | ⚠️ US-aequivalent | ⚠️ 8 grundlegende | ✗ keine |
+| Branchen-Layer | ✓✓ HWG/MPDG/BORA/FernUSG/Spa/MedTech/Finance/Agritech-EUDR/Health-EHDS | ⚠️ US-Sektoren | ⚠️ basic | n/a |
+| AEGIS-Scanner-Integration | ✓✓ native | ✗ | ✗ | ✗ |
+| Lizenz | MIT (OSS-frei) | Apache-2 (OSS-frei) | MIT (OSS-frei) | MIT (paid SaaS) |
+**Verdict**: brutaler-anwalt steckt — *sobald LO Live-Verification gemacht hat* — alle 3 Konkurrenz-Repos sauber in die Tasche.
+---
+## ⚠️ Warning Labels die NICHT entfernt werden bevor Live-Verification gruen
+- README `**Version:** 4.3.0` ist korrekt
+- Status `Health-Check 10/10 ✓` ist korrekt
+- ABER: `production-ready` Label bleibt OFF bis 2c + 3a/3b/3c gruen sind
+- Erst wenn LO bestaetigt: dann kann der Tag `v4.3.0-verified` gepusht werden + production-ready-Status
+---
+## Sign-Off (zu fuellen von LO)
+```
+[ ] 2a SessionStart-Hook firet           → ja / nein / unklar
+[ ] 2b UserPromptSubmit-Hook firet       → ja / nein / unklar
+[ ] 2c PostWrite-Hook firet + blockt     → ja / nein / unklar
+[ ] 3a /anwalt:az-verify funktioniert    → ja / nein / unklar
+[ ] 3b /anwalt:cold-start funktioniert   → ja / nein / unklar
+[ ] 3c /anwalt:health funktioniert       → ja / nein / unklar
+[ ] GitHub-Repo erstellt + push gruen    → ja / nein / unklar
+```
+Wenn alle 7 ✓: tag `v4.3.0` + push tag, dann ist Status echt **100% verified und ready**.
+---
+Geschrieben: 2026-05-15
+Session: autonom non-stop, 19 F-Items, 2-Pass-Advisor-Loop
+Skill-Version: v4.3.0
+Standalone-Repo: ~/.claude/skills/brutaler-anwalt/ (git init'd, 2 commits)

package/skills/compliance/aegis-native/brutaler-anwalt/LICENSE ADDED Viewed

@@ -0,0 +1,43 @@
+MIT License
+Copyright (c) 2026 brutaler-anwalt Contributors
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.
+---
+# Hinweis zu Inhalt der References-Files
+- Auszuege aus deutschen Gesetzen (`references/gesetze/DSGVO/`, `BDSG/`, `BGB/`,
+  `UWG/` etc.) sind gemeinfreie Werke nach § 5 UrhG und werden mit
+  Quellen-Hinweis auf https://www.gesetze-im-internet.de/ wiedergegeben.
+- Auszuege aus EU-Verordnungen (`DSA-2022-2065`, `AI-Act-2024-1689` etc.) werden
+  unter Creative Commons Attribution 4.0 (CC BY 4.0) der Europaeischen Union
+  per https://eur-lex.europa.eu/ wiedergegeben.
+- BGH/EuGH/OLG-Entscheidungen in `references/bgh-urteile.md` werden mit Az.
+  und Source-URL der jeweiligen Justizportale zitiert. Tenor-Auszuege sind
+  Kurz-Zusammenfassungen (kein Volltext).
+# RDG-Disclaimer
+Dieser Skill ist eine technisch-indikative Compliance-Pruef-Hilfe. Er stellt
+keine Rechtsdienstleistung im Sinne von § 2 RDG dar (BGH I ZR 113/20 Smartlaw,
+09.09.2021) und ersetzt nicht die Beratung durch einen zugelassenen
+Rechtsanwalt fuer IT- bzw. Datenschutzrecht. Fuer verbindliche Auskuenfte zu
+konkreten Sachverhalten ist anwaltliche Beratung erforderlich.

package/skills/compliance/aegis-native/brutaler-anwalt/README.md ADDED Viewed

@@ -0,0 +1,242 @@
+# brutaler-anwalt
+> Adversarial DE/EU Compliance-Auditor fuer Web-/SaaS-Projekte.
+> Multi-Persona-Self-Verification (HUNTER + CHALLENGER + SYNTHESIZER + DEVIL'S
+> ADVOCATE + LIVE-PROBE) gegen False-Positives + uebersehene Risiken.
+> Sachlich-praezise Schadens-Diagnose mit %-Wahrscheinlichkeit, €-Range, §-Beleg
+> und Az.-Source-URL.
+**License:** MIT
+**Version:** 4.3.0 (siehe [`CHANGELOG.md`](./CHANGELOG.md))
+**Status:** v4.3.0 Hook-System + WebFetch-Tier-1-Allowlist + Plugin-Manifest + 7 Slash-Commands + Coverage-2026 (EUDR + Data Act + CRA + EHDS + AI-Act-Sub-Tiers).
+Health-Check 10/10 ✓ · 60 Az. mit 100% Source-Coverage · 14 EU/DE-Verordnungen + 23 DE-Spezialgesetze + 17 stack-patterns · 37 Trigger · 49 Tier-1/2-Domains · 11 strukturierte Schadens-Klassen.
+**`secondary-source-derived`-Files in `references/gesetze/` brauchen Primary-Source-Verifikation
+vor Mandanten-Citation** (siehe `references/gesetze/VERIFICATION-STATUS.md`).
+> **AEGIS-Integration**: dieser Skill ist Teil der AEGIS-OSS-Suite und wird via `@aegis-scan/skills` distributed.
+> Vollstaendige Standalone-Plugin-Installation siehe `HANDOVER-LO-LIVE-VERIFICATION-2026-05-15.md`.
+---
+## ⚠️ Disclaimer (RDG)
+Dieser Skill ist eine **technisch-indikative Compliance-Pruef-Hilfe**.
+Er ist **keine Rechtsdienstleistung** im Sinne von § 2 RDG
+(BGH I ZR 113/20 Smartlaw, 09.09.2021) und ersetzt **nicht** die Beratung
+durch einen zugelassenen Rechtsanwalt fuer IT-/Datenschutzrecht.
+Fuer verbindliche Auskuenfte zu konkreten Sachverhalten ist anwaltliche
+Beratung erforderlich. Az.-Belege im Output muessen vor Verwendung in
+Schriftsaetzen anwaltlich gepruefte Primaerquellen sein (siehe SKILL.md §5
+Az.-Provenance-Pflicht).
+---
+## Was der Skill kann
+### Pflicht-Audit-Surfaces
+- **Header-Audit** (HSTS, CSP, Referrer-Policy, Permissions-Policy)
+- **HTML-Live-Probe** (Cookie-Banner, Mixed-Content, Public-Static-Files)
+- **Impressum-Audit** (§ 5 DDG)
+- **DSE-Audit** (DSGVO Art. 13, Drittland, AVV, Drift-Style 1+2)
+- **Cookie-/Consent-Audit** (§ 25 TDDDG)
+- **Branchen-Layer** (BORA, HWG, LMIV, MPDG, GlueStV, JuSchG, FernUSG, ...)
+- **CSP-Code-Cross-Check** (3-Surface-Pattern: Repo + CSP-Header + Public-Text)
+- **UGC-PII-Audit** (Public-Profile, Marketplace, Lost-Found)
+- **AGB B2C** (Pflicht-Klauseln-Komplettliste)
+- **BFSG** (B2C E-Commerce ab 28.06.2025)
+- **GoBD/AO** (Aufbewahrungs-Cron + Compliance-Frist 6/10 Jahre)
+- **Auth-Flow** (bcrypt-cost, MFA, Audit-Log, Session-Cookie-Attribute)
+- **Newsletter-DOI** (Confirmation-Token, Unsubscribe-Link)
+### Output
+- **Konsolidierte Risiko-Bewertung** (% Abmahn-Wahrscheinlichkeit, €-Range)
+- **Findings-Tabelle** (verified / disputed / compounded)
+- **Anwalts-Anhang pro Finding** (HUNTER-Befund + CHALLENGER-Test + Risiko-Vektor + Fix)
+- **Abmahn-Simulation** (bei Wahrsch. > 60% oder Modus SIMULATE)
+- **Audit-Trail** (Doku-Vorlage in `references/templates/COMPLIANCE-AUDIT-TRAIL-template.md`)
+### Modi
+- `SCAN` — Vollscan eines Projekts
+- `HUNT` — Spezifische Luecke / Sachverhalt
+- `SIMULATE` — Abmahn-/Behoerden-Simulation
+- `CONSULT` — Dokument-Pruefung (AGB, AVV, DSE)
+---
+## Use-Cases
+- **Pre-Launch-Audit** vor jedem Production-Deploy einer DACH-Site
+- **Quartals-Compliance-Check** fuer bestehende Sites (DSE-Drift, neue Az.)
+- **Pre-Push-Hook** in CI fuer DSE-relevante Aenderungen
+- **Mandanten-Pre-Pruefung** durch Agenturen / Inhouse-Compliance-Officer
+- **Konkurrenz-Recon** (was wuerde ein Abmahn-Anwalt bei mir finden?)
+---
+## Installation
+### Variante 1: als Claude-Code-Skill (lokal)
+```bash
+# In ~/.claude/skills/ als Submodule clonen oder direkt kopieren
+cd ~/.claude/skills/
+git clone https://github.com/RideMatch1/a.e.g.i.s.git aegis-skills
+ln -s aegis-skills/skills/brutaler-anwalt brutaler-anwalt
+```
+### Variante 2: als Submodule unter AEGIS
+```bash
+# Wenn du AEGIS bereits geklont hast
+cd <aegis-repo>
+git submodule add <skill-repo-url> skills/brutaler-anwalt
+```
+### Aktivierung
+Nach Installation in einem neuen Conversation-Start:
+```
+/anwalt
+```
+oder direkt mit Modus + Topic:
+```
+/anwalt scan          # Default SCAN auf aktuelles Repo
+/anwalt hunt cookie   # HUNT auf Cookie-Banner
+/anwalt simulate      # Abmahn-Brief-Simulation
+/anwalt consult agb   # CONSULT-Modus mit AGB
+```
+### Auto-Trigger (Keywords)
+Aktiviert automatisch bei diesen Keywords im User-Prompt:
+`dsgvo, datenschutz, impressum, cookie, abmahnung, compliance, agb, avv,
+drittland, einwilligung, ttdsg, tdddg, ddg, tmg, uwg, nis2, ai-act, gobd, dsa,
+urheber, marke, ePrivacy, drittlandtransfer, schrems, eugh, bgh, abmahnanwalt,
+datenpanne, betroffenenrechte, art-13, art-15, art-83, scc, tia, dsfa, vvt,
+dpo, dsb, fashion-id, planet49`
+---
+## Verzeichnis-Struktur
+```
+brutaler-anwalt/
+├── SKILL.md                          # Skill-Definition + Personas + Auto-Loading
+├── README.md                         # diese Datei
+├── LICENSE                           # MIT
+├── CHANGELOG.md                      # Versions-Historie
+└── references/
+    ├── audit-patterns.md              # 8-Phasen-HUNTER + V3.1-Lessons
+    ├── dsgvo.md                       # DSGVO-Auszug + DSFA-Trigger + VVT-KMU
+    ├── it-recht.md                    # DDG/TMG/NIS2/AI-Act/DSA/HinSchG/BFSG
+    ├── vertragsrecht.md               # AGB / BGB / SaaS / Lizenz
+    ├── checklisten.md                 # Pflicht-Listen pro Surface
+    ├── branchenrecht.md               # BORA/HWG/LMIV/MPDG/GlueStV/JuSchG/FernUSG/PetCare/...
+    ├── bgh-urteile.md                 # BGH/EuGH/OLG-Beleg-DB mit Source-URL
+    ├── abmahn-templates.md            # Abmahn-Brief-/Behoerden-Anhoerung-Vorlagen
+    ├── aegis-integration.md           # AEGIS-Scanner-Findings → Anwalts-Bewertung
+    ├── international.md               # CCPA / UK-GDPR / DSG / Schrems-II
+    ├── strafrecht-steuer.md           # StGB §202a/263a/269 + GoBD/AO
+    ├── templates/                     # 12 anonymisierte Lehrbuch-Snippets (inkl. VVT-File-Upload + DSFA-Art-9)
+    ├── gesetze/                       # Strukturierte Gesetzes-Auszuege (Phase 2 WIP)
+    └── stack-patterns/                # Tech-Stack-spezifische Patterns (Phase 2 WIP)
+```
+---
+## Provenance-Disziplin
+Dieser Skill folgt einer **zero-tolerance**-Politik gegen halluzinierte
+Az.-Nummern (siehe SKILL.md §5):
+1. Jede Az. im Output muss aus `references/bgh-urteile.md` (mit Source-URL)
+   stammen ODER in der aktuellen Session per WebSearch primaer-quellen-verifiziert
+   sein.
+2. Verdaechtige Az.-Pattern (Placeholder-Nummern, Az.-Jahr-Mismatch, frische
+   2024-2026-Az. ohne Source) werden VOR Output mit WebSearch geprueft.
+3. Wenn nicht verifizierbar → Az. wird entfernt oder als `[ungeprueft]` markiert.
+Hintergrund: ein halluziniertes Az. in einem Compliance-Doc kann die
+Grundlage einer falschen Mandanten-Entscheidung sein. Als Skill ohne
+RDG-Zulassung ist die einzige ehrliche Position: was nicht beweisbar ist,
+wird nicht ausgegeben.
+---
+## Contribution-Guidelines
+### Was beitragen?
+- **Neue Az.-Eintraege** in `references/bgh-urteile.md` — mit Source-URL
+  zur Primaerquelle (juris.bundesgerichtshof.de, curia.europa.eu, OLG-Portale)
+- **Neue Branchen** in `references/branchenrecht.md` — mit Trigger-Pattern,
+  Pflicht-Pruefungen, typischen Verstoessen, Az.-Belegen
+- **Neue Stack-Patterns** in `references/stack-patterns/` — pro Framework /
+  Auth-/Payment-/Tracking-/AI-Provider ein File mit Code-Snippet + DPA-Quelle
+  + DSE-Wording-Vorlage
+- **Neue Checklisten** in `references/checklisten.md` — fuer neue Compliance-Themen
+- **Bugs in Audit-Pattern** — wenn der Skill ein Pattern uebersieht oder einen
+  False-Positive produziert: Issue mit Repro-Beispiel
+### Wie beitragen?
+1. Pull-Request mit klarem Title (`add: BGH I ZR XXX/YY zu Cookie-Compliance`)
+2. Pro Az.-Eintrag Pflicht-Felder: Az., Datum, Tenor (1-3 Saetze), Anwendung,
+   Source-URL (Primaerquelle bevorzugt)
+3. Bei Sekundaerquelle (dejure.org, openjur.de, etc.): Tag `[secondary-source-verified]`
+4. CHANGELOG.md updaten
+5. CI-Tests pass (Brand-Sanitization-Check, Az.-Provenance-Check)
+### Was NICHT beitragen
+- **Keine halluzinierten Az.** Wenn du eine Quelle nicht primaer auffindbar
+  belegen kannst → entweder Sekundaerquelle mit Tag oder weglassen.
+- **Keine Brand-spezifischen Snippets**. Templates muessen anonymisiert sein
+  (`<placeholder>`-Pattern). Konkrete Code-Beispiele aus Live-Brands gehoeren
+  in dein eigenes Repo, nicht hier.
+- **Keine Rechtsberatung-Aussagen**. Reference-Files dokumentieren Recht,
+  geben aber keine Beratungs-Empfehlung — der Skill-Output ist eine
+  technisch-indikative Vor-Pruefung, keine Beratung.
+- **Keine PRs ohne Provenance**. Az. + Source-URL ist Pflicht.
+---
+## Quellen-Acknowledgments
+- **gesetze-im-internet.de** (Bundesministerium der Justiz) — gemeinfreie
+  Werke nach § 5 UrhG, Pflicht-Quelle fuer DE-Gesetze
+- **eur-lex.europa.eu** (Europaeische Union) — Creative Commons Attribution 4.0
+  fuer EU-Verordnungen + Richtlinien
+- **juris.bundesgerichtshof.de** — BGH-Entscheidungen-Datenbank
+- **curia.europa.eu** — EuGH-Entscheidungen
+- **edpb.europa.eu** — European Data Protection Board (Guidelines)
+- **bsi.bund.de** — BSI (Mindestanforderungen IT-Sicherheit)
+Sekundaerquellen (mit Provenance-Tag): dejure.org, openjur.de, rewis.io,
+medien-internet-und-recht.de, IHK-Stellungnahmen, etablierte Anwalts-Blogs.
+---
+## Roadmap zu v4.0.0
+Siehe [`CHANGELOG.md`](./CHANGELOG.md) Block `[Unreleased]`. Schwerpunkt:
+- Maxout `references/gesetze/` (DSGVO, BDSG, TDDDG, BGB, UWG, ...)
+- 100+ Az. in `references/bgh-urteile.md` (alle mit Source-URL)
+- 30+ Stack-Pattern-Files
+- 20+ Branchen in `references/branchenrecht.md`
+- Out-of-Corpus-Validation gegen Live-Brands
+- OSS-Release auf AEGIS-Repo (User-authorized)
+---
+## License
+MIT — siehe [`LICENSE`](./LICENSE).