npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/MiCA-2023-1114/articles.md ADDED Viewed

@@ -0,0 +1,124 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R1114
+last-checked: 2026-05-02
+purpose: MiCA (Markets in Crypto-Assets) — Crypto-Token-Regulierung EU.
+verification-status: partially-verified
+skill-output-disclaimer: "⚠ Teil-verifiziert — Anwendbarkeit (30.12.2024) + Token-Kategorien primaer-verifiziert; Sanktions-Hoehen (Art. 111 ff.) gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# MiCA — VO 2023/1114
+> **Anwendbar seit 30.12.2024** (vollstaendig).
+> Stable-Coins (ART/EMT): seit 30.06.2024.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R1114
+## Geltungsbereich (Art. 2)
+MiCA gilt fuer:
+- **Crypto-Asset Issuer** (Anbieter der Krypto-Werte ausgibt)
+- **Crypto-Asset Service Provider (CASP)** (z.B. Trading-Platforms, Wallet-Provider, Custodians)
+NICHT erfasst:
+- Bitcoin (Native-Layer-1)
+- Decentralized DeFi (eng auszulegen, KOM-Guidance ausstehend)
+- NFT-Sammlungen (in der Regel Art. 2 Abs. 3 — Einzelfall-Pruefung)
+## Token-Kategorien (Art. 3)
+### Asset-Referenced Tokens (ART)
+Tokens die ihren Wert auf mehrere Vermoegenswerte oder Waehrungen referenzieren.
+Beispiel: Multi-Currency-Stable-Coin.
+Pflicht: BaFin-Erlaubnis (oder vergleichbare EU-Behoerde).
+### E-Money Tokens (EMT)
+Tokens die ihren Wert auf nur 1 Fiat-Waehrung referenzieren (1:1).
+Beispiel: USDC, EUR-gebundene Stable-Coin.
+Pflicht: E-Geld-Institut-Erlaubnis (PSD2 / E-Geld-RL).
+### Andere Crypto-Assets
+z.B. Utility-Tokens, Governance-Tokens.
+Pflicht: White-Paper (Art. 6) + Notifizierung an Behoerde (KEIN Erlaubnis aber Compliance).
+## Art. 6 — White-Paper-Pflicht
+Pflicht-Inhalte White-Paper (Anhang I):
+- Beschreibung Token + Anwendung
+- Risiken
+- Technologie + Smart-Contract-Audits
+- Issuer-Identitaet
+- Markt-Beteiligungs-Voraussetzungen
+- Investoren-Schutz-Hinweise
+White-Paper muss bei BaFin notifiziert werden (kostenlos, kein Approval, nur Notifikation).
+## Art. 16 — Reverse Solicitation-Ausnahme
+Wenn Drittland-CASP einen EU-Kunden auf dessen ausschliessliche Initiative bedient: keine MiCA-Erlaubnis noetig.
+**Audit-Risiko**: enge Auslegung. Reverse Solicitation ist NICHT erfuellt wenn:
+- CASP wirbt online an EU-Adressen
+- CASP hat EU-Sprache-Website
+- CASP nimmt EU-Mitarbeiter ein
+## Art. 59 — CASP-Erlaubnis
+Wer ist CASP?
+- Verwahrung + Verwaltung von Krypto-Assets
+- Betrieb einer Handelsplattform
+- Tausch Krypto gegen Fiat / Krypto gegen Krypto
+- Auftragsabwicklung
+- Auftragsausfuehrung
+- Anlageberatung
+- Portfolio-Management
+- Krypto-Lending (DEFI)
+CASP-Erlaubnis bei BaFin (DE) noetig.
+## Art. 67-72 — Marktintegritaets-Regeln
+Verbote:
+- Insider-Trading (Art. 67)
+- Marktmanipulation (Art. 71)
+- Pump-and-Dump
+## Sanktionen (Art. 111 ff.)
+> ⚠ **Primaerquellen-Verifikation Pflicht vor Citation in Skill-Output.**
+> Sanktions-Vorschriften MiCA sind in Kapitel VII (Art. 111 ff.) geregelt
+> — **nicht in Art. 86** (Marktintegritaets-Regeln Art. 86 ist eine andere Vorschrift).
+>
+> Indikative Bandbreite (sekundaerquellen-derived, eur-lex-Verifikation pending v4.0.0-rc.2):
+> - Juristische Personen: **bis 15 Mio. EUR oder 10% globaler Jahresumsatz** (der hoehere Wert)
+>   — andere Sekundaerquellen nennen 12,5%; Differenz = Modul-spezifisch (ART/EMT/CASP)
+> - Natuerliche Personen: **bis 5 Mio. EUR**
+> - Plus: Veroeffentlichung des Verstosses + ggf. CASP-Erlaubnis-Entzug
+>
+> **Skill-Output-Regel**: bei MiCA-Sanktion-Citation gegen
+> https://eur-lex.europa.eu/eli/reg/2023/1114/oj/eng den korrekten Artikel + Hoehe verifizieren,
+> NICHT diese Range zitieren ohne Volltext-Pruefung.
+## DE-Umsetzung: KryptoWAEG (Krypto-Werte-Aufsichtsgesetz)
+Inkrafttreten Dez 2024. Setzt MiCA + Erlaubnis-Verfahren in DE-Recht um.
+Volltext: https://www.gesetze-im-internet.de/kryptowaeg/
+BaFin-Liste registrierter CASPs: https://portal.mvp.bafin.de/
+## Audit-Relevanz
+Wenn Site als Crypto/Web3-Plattform agiert:
+- White-Paper vorhanden + bei BaFin notifiziert?
+- CASP-Erlaubnis bei BaFin?
+- Wallet-Provider-Pflichten (Custodian-Status)?
+- KYC-AML-Pflichten (GwG + AMLR-VO 2024)?
+- Travel-Rule-Compliance (FATF + Travel-Rule-VO)?
+- Werbe-Beschraenkungen + Risikohinweise?
+## Source
+- [eur-lex.europa.eu — VO 2023/1114](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R1114)
+- [BaFin — MiCA-FAQ](https://www.bafin.de/DE/Aufsicht/FinTech/MiCAR/micar_node.html)
+- [KryptoWAEG (DE)](https://www.gesetze-im-internet.de/kryptowaeg/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/MiCA-2023-1114/audit-relevance.md ADDED Viewed

@@ -0,0 +1,85 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R1114
+last-checked: 2026-05-02
+purpose: MiCA — Audit-Trigger fuer Crypto/Web3-Sites.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# MiCA — Audit-Relevance
+## Auto-Loading-Trigger
+```
+URL-Pattern: *-crypto.*, *-defi.*, *-nft.*, *-token.*, *-exchange.*, *-wallet.*
+Tech-Stack-Detection (package.json grep):
+- ethers.js, viem, wagmi (Web3-Frontend)
+- @solana/web3.js
+- web3.js
+- @walletconnect/*
+- alchemy-sdk, @infura/sdk
+Page-Content:
+- "Token-Sale" / "ICO" / "STO" / "Mint"
+- "Exchange" / "Trading" / "Swap"
+- "Staking" / "Yield" / "Lending"
+- Wallet-Connect-Button im Header
+```
+## Pflicht-Surfaces
+### Token-Issuance
+| Pflicht | Quelle |
+|---|---|
+| Token-Klassifikation: ART / EMT / Other | MiCA Art. 3 |
+| White-Paper bei BaFin notifiziert | Art. 6 + KryptoWAEG |
+| ART/EMT: BaFin-Erlaubnis | Art. 16-21 |
+| Werbung-Compliance + Risikohinweis | Art. 30 |
+### CASP-Status
+| Pflicht | Quelle |
+|---|---|
+| BaFin CASP-Erlaubnis | Art. 59 + KryptoWAEG |
+| KYC nach GwG § 10 | GwG + AMLR-VO 2024 |
+| Travel-Rule (>= 1.000 EUR) | FATF + EU-Travel-Rule-VO |
+| Risk-Disclosure | Art. 66 |
+| Markt-Integritaets-Compliance | Art. 67-72 |
+| Eigenkapital-Anforderungen | Art. 60-65 |
+### Marketing-Site
+| Pflicht | Quelle |
+|---|---|
+| Werbung an EU-Investoren = MiCA-Erlaubnis | Art. 16 (eng) |
+| Risikohinweis sichtbar | Art. 66 |
+| Keine Renditeversprechen ohne Hinweis | UWG § 5 + MiCA |
+## Audit-Pattern
+```
+**Finding**: Token-Sale ohne notifiziertes White-Paper
+**Wahrsch.**: 80% (BaFin-Pruefungen 2025+)
+**Kritikalitaet**: 🔴 KRITISCH
+**§**: Art. 6 MiCA + KryptoWAEG § 4
+**€-Range KMU**: 100.000-5.000.000 EUR (5 Mio./5%-Stufe)
+**Fix**:
+- White-Paper nach Anhang I MiCA erstellen
+- Bei BaFin notifizieren (kostenlos)
+- Issuer-Identitaet + Smart-Contract-Audit beilegen
+- Werbung erst nach Notifikation
+```
+## Cross-Reference
+- Branche Crypto/Web3: `references/branchenrecht.md`
+- AML / GwG: `references/strafrecht-steuer.md`
+## Source
+- [eur-lex.europa.eu — VO 2023/1114](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R1114)
+- [BaFin MiCA](https://www.bafin.de/DE/Aufsicht/FinTech/MiCAR/micar_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/NIS2-2022-2555/articles.md ADDED Viewed

@@ -0,0 +1,101 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
+last-checked: 2026-05-02
+purpose: NIS2-Richtlinie — Cybersecurity-Pflichten kritischer Sektoren.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# NIS2-RL — RL 2022/2555
+> **Umsetzungsfrist 17.10.2024.** DE-Umsetzung: NIS2UmsuCG (Stand 2026-05: Bundestags-Verfahren laufend, BSIG bleibt subsidiaer).
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
+## 18 Sektoren (Anhang I + II)
+**Hochkritisch** (Anhang I):
+- Energie (Strom, Oel, Gas, Fernwaerme)
+- Transport (Luft / Bahn / Wasser / Strasse)
+- Banken
+- Finanzmarktinfrastruktur
+- Gesundheit (Krankenhaeuser, Hersteller, Forschung)
+- Trinkwasser, Abwasser
+- Digitale Infrastruktur (DNS, TLD-Registries, Cloud, Rechenzentren)
+- Verwaltung von IKT-Diensten (B2B Managed Service Provider)
+- Oeffentliche Verwaltung
+- Raumfahrt
+**Andere kritische** (Anhang II):
+- Post + Kurier
+- Abfallwirtschaft
+- Chemikalien
+- Lebensmittel-Produktion + Vertrieb
+- Verarbeitende Industrie (Medizinprodukte, Computer/Elektronik, Maschinen, KFZ, Sonstige)
+- Forschung
+- Anbieter digitaler Dienste (Online-Marktplatz, Suchmaschinen, Social Networks)
+## Schwellwerte
+| Status | Schwelle |
+|---|---|
+| **Wesentliche Einrichtung** | Grossunternehmen (>= 250 MA ODER >= 50 Mio. EUR) in Anhang I |
+| **Wichtige Einrichtung** | Mittlere Unternehmen (>= 50 MA ODER >= 10 Mio. EUR) in Anhang I+II |
+| **Nicht betroffen** | Kleinunternehmen (< 50 MA + < 10 Mio. EUR) |
+## Pflichten
+### Risikomanagement (Art. 21)
+10 Mindestmassnahmen:
+- Risk-Assessment + Sicherheitskonzept
+- Incident-Response-Plan
+- Business-Continuity (Backup, Notfallplaene)
+- Supply-Chain-Sicherheit (Lieferanten-Bewertung)
+- Sicherheit bei Erwerb / Entwicklung / Wartung
+- Cyberhygiene-Policies + Schulungen
+- Kryptographie + Verschluesselung
+- Personalsicherheit, Zugangskontrolle, Asset-Management
+- Multi-Faktor-Authentifizierung
+- Sichere Kommunikation (verschluesselt)
+### Meldepflichten (Art. 23)
+| Stufe | Frist | Empfaenger |
+|---|---|---|
+| Erstmeldung | **24 Stunden** | BSI |
+| Folgebericht | **72 Stunden** | BSI |
+| Abschlussbericht | **1 Monat** | BSI |
+### Governance (Art. 20)
+- Persoenliche Haftung der Geschaeftsleitung
+- Pflicht-Schulungen Geschaeftsleitung
+### Sub-Auftragsverarbeiter (Art. 21 Abs. 3)
+Lieferanten-Sicherheits-Anforderungen vertraglich.
+## Sanktionen (Art. 34)
+- Wesentliche Einrichtungen: bis **10 Mio. EUR oder 2% Jahresumsatz**
+- Wichtige Einrichtungen: bis **7 Mio. EUR oder 1,4% Jahresumsatz**
+- Geschaeftsleitung-Haftung bei Verstoss
+## DE-Umsetzung Status
+NIS2UmsuCG-Entwurf liegt im Bundestag (Stand 2026-05). Bis Inkrafttreten:
+- BSIG (alt) gilt subsidiaer
+- Direkte Wirkung der RL 2022/2555 ueber Vertragsverletzungsverfahren-Risiko (EU-KOM hat Verfahren eroeffnet bei verspaeteter Umsetzung mehrerer MS)
+## Audit-Relevanz
+Wenn Site/Operator unter NIS2-Sektor faellt + Schwellwert erfuellt: kompletter NIS2-Stack.
+Wenn als Sub-Auftragsverarbeiter: Vertragsklauseln Art. 21 Abs. 3 erfuellen.
+## Source
+- [eur-lex.europa.eu — RL 2022/2555](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555)
+- [BSI NIS2-Page](https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2/nis-2_node.html)
+- [BMI NIS2UmsuCG](https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Themen/IT-Cyber/nis2umsucg.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/ProdHaftRL-2024-2853/articles.md ADDED Viewed

@@ -0,0 +1,68 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L2853
+last-checked: 2026-05-02
+purpose: Produkthaftungs-RL 2024 — Erweiterung auf Software / KI / Digital-Services.
+---
+# Produkthaftungs-RL — RL 2024/2853
+> **Umsetzungsfrist 09.12.2026.** Ersetzt RL 85/374/EWG (Produkthaftungsrichtlinie 1985).
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L2853
+## Wesentliche Aenderungen vs. 1985-Fassung
+### Erweiterter Produkt-Begriff (Art. 4)
+NEU als „Produkt" einbezogen:
+- **Software** (auch Standalone, ohne Hardware)
+- **AI-Systeme** (auch GPAI-Modelle)
+- **Digital-Services** die ueber das Produkt kommuniziert werden
+- **Komponenten** (auch nicht-physische)
+NICHT als Produkt: Free + Open-Source Software AUSSER kommerziell vermarktet.
+### Erweiterte Beweislastumkehr (Art. 11)
+Bei besonders komplexen technischen Sachverhalten:
+- Beweispflicht fuer Hersteller dass Produkt sicher war
+- Bei AI-System: Vermutung des Defekts wenn Funktionsweise nicht ausreichend transparent
+### Ersatz-Pflicht (Art. 6)
+Hersteller haftet bei:
+- Body-Verletzung / Tod
+- Sachschaeden ueber 500 EUR (jeder Verbrauch hier wegfaellt vs. 1985-Fassung)
+- **NEU**: psychischer Schaden mit medizinischer Diagnose
+- **NEU**: Daten-Verlust / Daten-Korruption (oekonomisch quantifizierbar)
+### Updates + Patches (Art. 8)
+Hersteller haftet wenn:
+- Versaeumnis erforderlicher Sicherheits-Updates
+- Produkt nach Update fehlerhaft funktioniert
+## DE-Umsetzung
+ProdHaftG wird bis 09.12.2026 aktualisiert. BMJ-Entwurf Stand 2026-05 in Vorbereitung.
+## Audit-Relevanz
+Software / AI / SaaS Anbieter:
+- Pflicht zur Sicherheits-Updates
+- Daten-Verlust Risiko-Klasse jetzt explizit
+- AVV / DPA-Klauseln pruefen ob Haftungsbegrenzung durchgreift (i.d.R. NICHT bei ProdHaftG, das ist zwingend)
+## Audit-Pattern
+```
+**Finding**: SaaS-AGB versucht Haftungsausschluss fuer Daten-Verluste
+**§**: Art. 6 ProdHaftRL 2024 + § 14 ProdHaftG (geplant)
+**Status**: AGB-Klausel unwirksam ab 09.12.2026
+**Fix**: Haftungsausschluss-Klausel anpassen — keine Ausschluesse fuer Daten-Verlust ueber 500 EUR
+```
+## Source
+- [eur-lex.europa.eu — RL 2024/2853](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L2853)
+- [ProdHaftG (DE-Aktualisierung in Vorbereitung)](https://www.gesetze-im-internet.de/prodhaftg/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/eIDAS-2024-1183/articles.md ADDED Viewed

@@ -0,0 +1,43 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1183
+last-checked: 2026-05-02
+purpose: eIDAS 2.0 — EUDI Wallet + qualifizierte Trust-Services. Skeleton + Defer-Marker fuer v4.1.
+status: skeleton
+---
+# eIDAS 2.0 — VO 2024/1183 (Skeleton)
+> Aenderung der ueIDAS-VO 910/2014. **EUDI Wallet ab 2026 Pflicht-Bereitstellung der Mitgliedstaaten.**
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1183
+## EUDI Wallet (European Digital Identity Wallet)
+EU-weite digitale Identitaets-Wallet:
+- Auth-Methode fuer staatliche Dienste
+- Akzeptanz-Pflicht durch grosse Online-Plattformen
+- Selektive Disclosure (nur notwendige Attribute teilen)
+## Trust-Services (erweitert)
+Qualifizierte Trust-Services:
+- Qualifizierte elektronische Signaturen (QES) — wie eIDAS 1.0
+- **NEU: qualifizierte Attest-Services** (Verified Credentials)
+- **NEU: qualifizierte Archivierungsdienste**
+## Akzeptanz-Pflicht (Art. 5b)
+Grosse Online-Plattformen + oeffentliche Stellen muessen EUDI Wallet als Auth-Option anbieten.
+## Audit-Relevanz fuer KMU
+Stand 2026: noch im Aufbau. Erst 2026-2027 anwendbar.
+## Defer-Marker
+> **Vollstaendige Bearbeitung in v4.1+**: EUDI-Wallet-Integration-Patterns (OIDC4VP, OIDC4VCI), qualifizierte-Trust-Services-Anbieter-Liste, Akzeptanz-Pflicht-Schwelle pruefen. Aktuell skeleton ausreichend.
+## Source
+- [eur-lex.europa.eu — VO 2024/1183](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1183)
+- [EUDI Wallet Architecture Reference Framework](https://digital-strategy.ec.europa.eu/de/library/european-digital-identity-architecture-and-reference-framework-outline)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/Finance/KWG.md ADDED Viewed

@@ -0,0 +1,52 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/kredwg/
+last-checked: 2026-05-02
+purpose: KWG — Kreditwesengesetz.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de / BaFin verifizieren"
+last-verified: 2026-05-05
+---
+# KWG — Kreditwesengesetz
+> Volltext: https://www.gesetze-im-internet.de/kredwg/
+## Erlaubnispflicht (§ 32)
+Bankgeschaefte + Finanzdienstleistungen brauchen BaFin-Erlaubnis:
+- Einlagengeschaeft
+- Kreditgeschaeft
+- Eigenhandel
+- Investment-Beratung
+- Anlage-Vermittlung
+- Finanzkommissionsgeschaeft
+## Bagatell-Ausnahmen (§ 2)
+- Einzel-Geschaefte ohne System
+- Reine Vermittlung an erlaubte Bank
+## Eigenkapital-Anforderungen (§§ 10-12)
+CRR (Capital Requirements Regulation) — Detailregeln.
+## DORA-Verzahnung
+DORA + KWG: Banken-Compliance ueber DORA + KWG kombiniert.
+## Sanktionen
+- bis 5 Mio. EUR
+- Strafanzeige § 54 KWG bei Vorsatz
+## Audit-Trigger
+Wenn Site Kredit / Anlageberatung / Crowdfunding anbietet:
+- BaFin-Erlaubnis pruefen
+- KAGB-Pruefung wenn Anlageberatung
+## Source
+- [gesetze-im-internet.de — KWG](https://www.gesetze-im-internet.de/kredwg/)
+- [BaFin KWG-Page](https://www.bafin.de/DE/Aufsicht/BankenFinanzdienstleister/banken_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/Finance/PSD2.md ADDED Viewed

@@ -0,0 +1,67 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32015L2366
+last-checked: 2026-05-02
+purpose: PSD2 — Zahlungsdienstleister-Richtlinie. DE-Umsetzung in ZAG.
+verification-status: partially-verified
+skill-output-disclaimer: "⚠ Teil-verifiziert — Top-Claims (SCA 30 EUR-Schwelle) primaerquelle-bestaetigt; weitere Detail-Claims gegen eur-lex.europa.eu / RTS 2018/389 verifizieren"
+last-verified: 2026-05-05
+---
+# PSD2 — RL 2015/2366
+> Payment Services Directive 2. DE-Umsetzung: ZAG (Zahlungsdiensteaufsichtsgesetz).
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32015L2366
+> ZAG: https://www.gesetze-im-internet.de/zag_2018/
+## Anwendungsbereich
+Zahlungsdienste:
+- Konto-Information-Service (AIS)
+- Zahlungs-Auslsoesung (PIS)
+- Karten-Issuing
+- E-Geld-Issuing
+- Geld-Transfer
+## Erlaubnispflicht (§ 10 ZAG)
+- BaFin-Erlaubnis erforderlich
+- Eigenkapital-Anforderungen je nach Dienst
+- Zuverlassigkeitspruefung
+## Strong Customer Authentication (SCA)
+PSD2 Art. 97 + RTS:
+- 2-Faktor bei Kunden-Authentication (Inhalt + Wissen + Inhärenz)
+- Ausnahmen bei Low-Risk-Transaktionen
+## API-Pflichten
+PSD2-API (XS2A):
+- Banken muessen AIS / PIS via API ermoeglichen
+- Standard: Berlin Group / STET / Open Banking UK
+## Sanktionen
+BaFin-Bussgeld:
+- bis 5 Mio. EUR
+- bei Wiederholung bis 10% Jahresumsatz
+## Audit-Trigger fuer Skill
+Wenn Site Zahlungsdienst anbietet:
+- BaFin-Erlaubnis (oder Reverse-Solicitation)
+- SCA-Implementierung
+- AVV mit Zahlungsdienstleister
+- DSE-Erwaehnung
+## Cross-Reference
+- Stripe: `references/stack-patterns/payment/stripe-pci-tom.md`
+- Crypto / MiCA: `references/gesetze/EU-Verordnungen/MiCA-2023-1114/`
+## Source
+- [eur-lex.europa.eu — RL 2015/2366](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32015L2366)
+- [ZAG (DE)](https://www.gesetze-im-internet.de/zag_2018/)
+- [BaFin Zahlungsdienste](https://www.bafin.de/DE/Aufsicht/BankenFinanzdienstleister/ZahlungsdiensteEGeld/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/Finance/ZAG.md ADDED Viewed

@@ -0,0 +1,50 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/zag_2018/
+last-checked: 2026-05-02
+purpose: ZAG — Zahlungsdiensteaufsichtsgesetz (DE-Umsetzung PSD2).
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de / BaFin verifizieren"
+last-verified: 2026-05-05
+---
+# ZAG — Zahlungsdiensteaufsichtsgesetz
+> Volltext: https://www.gesetze-im-internet.de/zag_2018/
+## Erlaubnispflicht (§ 10)
+Zahlungsdienste duerfen nur mit BaFin-Erlaubnis betrieben werden:
+- Zahlungsinitiierung
+- Konto-Informations-Service
+- Geld-Transfer
+- Karten-Issuing
+- E-Geld-Issuing
+## Bagatell-Ausnahme (§ 2)
+Erlaubnispflicht entfaellt bei:
+- Bargeld nur (kein Online)
+- Bonus-Programmen
+- Geschenk-Karten innerhalb eines geschlossenen Netzwerks
+## Anti-Money-Laundering (§ 27)
+Verknuepft mit GwG — KYC + Verdachtsmeldung an FIU.
+## Sanktionen
+- bis 5 Mio. EUR
+- Erlaubnis-Entzug
+- Strafanzeige bei unerlaubtem Betrieb
+## Audit-Trigger
+Wenn Site Zahlungs-Service anbietet:
+- BaFin-Erlaubnis-Listung pruefen
+- Bagatell-Ausnahme zutreffend?
+## Source
+- [gesetze-im-internet.de — ZAG](https://www.gesetze-im-internet.de/zag_2018/)
+- [BaFin Erlaubnis-Datenbank](https://portal.mvp.bafin.de/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/GlueStV/articles.md ADDED Viewed

@@ -0,0 +1,86 @@
+---
+license: oeffentlich-rechtlich (Staatsvertrag der Laender)
+source: https://www.gluecksspiel-behoerde.de/glcksspielstaatsvertrag-2021
+last-checked: 2026-05-02
+purpose: GlueStV 2021 — Gluecksspielrecht Online.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen GlueStV-Volltext / Aufsichtsbehoerde verifizieren"
+last-verified: 2026-05-05
+---
+# GlueStV 2021 — Audit-relevante Paragraphen
+> Gluecksspielstaatsvertrag 2021. Volltext: https://www.gluecksspiel-behoerde.de/glcksspielstaatsvertrag-2021
+> GGL (Gluecksspielbehoerde der Laender) als Aufsicht: https://www.gluecksspiel-behoerde.de/
+## Geltungsbereich
+GlueStV gilt fuer:
+- Online-Casinos
+- Online-Sportwetten
+- Online-Poker
+- Lotterien
+- Telefon-/SMS-Glücksspiele
+NICHT erfasst: kostenlose Gewinnspiele ohne Einsatz.
+## Erlaubnispflicht (§ 4 GlueStV)
+Online-Gluecksspiel braucht **Erlaubnis** der GGL:
+- Sitz in DE oder EU
+- Erlaubnis-Verfahren bei GGL Halle
+- Whitelist auf https://www.gluecksspiel-behoerde.de/de/whitelist
+## Werbe-Beschraenkungen (§ 5 GlueStV)
+- Verbot in Sport-Pause-Werbung (1h vor + nach Live-Sportereignis)
+- Verbot Influencer-Werbung mit prominenten Personen
+- Verbot Bonus-Werbung mit „kostenlos"-Versprechen
+- Spielerschutz-Hinweise prominent
+- Verbot Kinder-Adressierung
+## Spielerschutz (§§ 6-9 GlueStV)
+- Selbstausschluss-System OASIS (zentral)
+- Einzahlungs-Limit 1.000 EUR / Monat (Default — anhebbar nach Bonity-Pruefung)
+- Anbieter-uebergreifendes Limit
+- Pflicht-Aufklaerungstexte
+## Sanktionen
+- Erlaubnis-Entzug
+- Bussgeld bis 500.000 EUR
+- Zugangs-Sperren durch ISPs
+- Strafanzeige § 284 StGB (unerlaubtes Gluecksspiel)
+## Audit-Trigger
+Wenn Site Gluecksspiel-Funktion bietet:
+- Ist Anbieter auf GGL-Whitelist?
+- Spielerschutz-Hinweise prominent?
+- OASIS-Anbindung implementiert?
+- Werbung GlueStV-konform?
+## Audit-Pattern
+```
+**Finding**: Gluecksspiel-Site ohne GGL-Erlaubnis-Nummer im Impressum
+**Wahrsch.**: 90% (GGL aktive Pruefung + ISP-Zugangssperre + Strafanzeige § 284 StGB)
+**§**: § 4 GlueStV + § 284 StGB
+**€-Range**: bis 500.000 EUR + Strafanzeige
+**Fix**:
+- Erlaubnis bei GGL beantragen
+- Erlaubnis-Nr. im Impressum
+- OASIS-Anbindung
+```
+## Cross-Reference
+- Branche Gluecksspiel: `references/branchenrecht.md`
+- Strafrecht § 284: `references/strafrecht-steuer.md`
+## Source
+- [GGL — Gluecksspielbehoerde der Laender](https://www.gluecksspiel-behoerde.de/)
+- [GlueStV 2021 Volltext](https://www.gluecksspiel-behoerde.de/glcksspielstaatsvertrag-2021)
+- [OASIS-Sperrsystem](https://www.gluecksspiel-behoerde.de/de/oasis-sperrsystem)