npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/HGB-AO/audit-relevance.md ADDED Viewed

@@ -0,0 +1,27 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: HGB + AO Audit-Relevance — GoBD / Aufbewahrung.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# HGB + AO — Audit-Relevance
+## Auto-Loading-Trigger
+Bei jedem geschaeftlich-betriebenen Anbieter (Steuerpflicht).
+## Pflicht-Surfaces
+| Surface | Norm |
+|---|---|
+| Geschaeftsbriefe-Aufbewahrung 6 Jahre | HGB § 257 |
+| Buchungsbelege-Aufbewahrung 10 Jahre | AO § 147 |
+| Z1/Z2/Z3-Datenzugriff Steuerpruefung | AO § 147 Abs. 6 |
+| Revisionssichere Archivierung | GoBD-BMF-Schreiben |
+## Cross-Reference
+- Strafrecht / GoBD: `strafrecht-steuer.md`
+- HGB-AO paragraphs.md: `gesetze/HGB-AO/paragraphs.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/HGB-AO/paragraphs.md ADDED Viewed

@@ -0,0 +1,61 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+sources:
+  - https://www.gesetze-im-internet.de/hgb/__257.html
+  - https://www.gesetze-im-internet.de/ao_1977/__147.html
+last-checked: 2026-05-01
+purpose: GoBD-/AO-Aufbewahrungsfristen — Konflikt mit DSGVO Art. 17 Lösch-Anspruch.
+---
+# HGB § 257 + AO § 147 — Aufbewahrungsfristen
+## HGB § 257 — Aufbewahrung Handelsgeschäftsbriefe + Buchführung
+| Unterlage | Frist |
+|-----------|-------|
+| Handelsbriefe (E-Mails, Bestellbestätigungen, Verträge) | **6 Jahre** (HGB § 257 Abs. 4) |
+| Buchungsbelege, Bilanzen, Inventare | **10 Jahre** (HGB § 257 Abs. 4) |
+| Empfangene Handelsbriefe | 6 Jahre |
+| Wiedergaben abgesandter Handelsbriefe | 6 Jahre |
+Beginn: Schluss des Kalenderjahrs der letzten Eintragung / Erstellung.
+## AO § 147 — Steuerrechtliche Aufbewahrung
+| Unterlage | Frist |
+|-----------|-------|
+| Bücher, Aufzeichnungen, Buchungsbelege, Bilanzen, Jahresabschluss | **10 Jahre** |
+| Empfangene Geschäftsbriefe / Wiedergaben abgesandter Geschäftsbriefe | **6 Jahre** |
+| Sonstige Unterlagen relevant für Besteuerung | 6 Jahre |
+Beginn: Schluss des Kalenderjahrs der letzten Eintragung / Erstellung (analog HGB).
+## Konflikt-Auflösung mit DSGVO Art. 17
+DSGVO Art. 17 Abs. 3 lit. b: Lösch-Anspruch gilt NICHT bei rechtlicher Verpflichtung zur Aufbewahrung.
+**Lösung:** Statt Löschung → **Einschränkung der Verarbeitung** (Art. 18 DSGVO + § 35 BDSG):
+1. Daten markieren als „nur für Aufbewahrung" / „Buchhaltungs-Archiv"
+2. Zugriff einschränken auf Buchhaltung / Compliance
+3. Kein operativer Zugriff (CRM, Marketing)
+**Audit-Relevanz:**
+- Lösch-Cron darf Rechnungen + Zahlungs-Belege NICHT vor Frist-Ablauf löschen
+- DSE-Aussage zur Speicherdauer muss korrekt zwischen „operative" und „archivarische" Aufbewahrung trennen
+- GoBD-Konformität (Unveränderlichkeit, Nachvollziehbarkeit, Verfügbarkeit)
+## GoBD — Grundsätze ordnungsmäßiger Buchführung in elektronischer Form
+BMF-Schreiben vom 28.11.2019 (GoBD), Source: https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.html
+Kern-Anforderungen:
+- Vollständigkeit + Richtigkeit
+- Zeitgerechte Buchung (Trennung in „aktuelle Periode" und „Archiv")
+- Ordnung + Nachvollziehbarkeit
+- **Unveränderlichkeit** — keine nachträgliche Änderung der gebuchten Daten ohne Audit-Trail
+- Aufbewahrung der maschinellen Auswertbarkeit
+**Audit-Relevanz:**
+- Database-Schema mit `created_at` / `modified_at` + Audit-Trail-Tabelle
+- Soft-Delete + Versionierung statt Hard-Delete für Buchhaltungs-Daten
+- Backup + Disaster-Recovery dokumentiert

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/HinSchG/articles.md ADDED Viewed

@@ -0,0 +1,96 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/hinschg/
+last-checked: 2026-05-02
+purpose: HinSchG (Hinweisgeberschutzgesetz) — interne Meldekanal-Pflicht.
+verification-status: verified
+skill-output-disclaimer: "Top-Layer-verifiziert (gesetze-im-internet.de) — Sanktions-Hoehen + Schwellwerte primaer-verifiziert"
+last-verified: 2026-05-05
+---
+# HinSchG — Audit-relevante Paragraphen
+> Hinweisgeberschutzgesetz, in Kraft seit 02.07.2023.
+> Volltext: https://www.gesetze-im-internet.de/hinschg/
+## Pflicht-Schwellen
+| MA | Pflicht-Status | Stichtag |
+|---|---|---|
+| >= 250 MA | Meldekanal Pflicht | seit 02.07.2023 |
+| 50-249 MA | Meldekanal Pflicht | seit 17.12.2023 |
+| < 50 MA | Keine Pflicht (ausser regulierte Branchen) | -- |
+## §§ 12-21 — Interne Meldekanaele
+### § 12 — Pflicht-Aufbau
+- Meldekanal vertraulich + sicher
+- Erreichbar fuer:
+  - Schriftlich (Email / Form)
+  - Muendlich (Telefon / persoenlich auf Wunsch)
+- Innerhalb 7 Tagen Bestaetigung an Hinweisgeber
+- Innerhalb 3 Monaten Folge-Mitteilung
+### § 13 — Verschwiegenheits-Pflicht
+Identitaet des Hinweisgebers strikt geschuetzt — auch gegenueber dem Vorgesetzten.
+### § 14 — Meldekanal-Aufbau
+- Eigener interner Channel ODER
+- Externer Dienstleister (zertifiziert)
+### § 16 — Anonyme Meldungen
+Sollen entgegengenommen + bearbeitet werden (kein „muss" — aber Best-Practice).
+## § 36 — Schutz vor Repressalien
+Hinweisgeber duerfen nicht benachteiligt werden:
+- Kuendigung
+- Versetzung
+- Gehaltskuerzung
+- Mobbing
+Beweislastumkehr: Bei Repressalien-Vorwurf muss Arbeitgeber beweisen dass Massnahme nicht repressalien-motiviert.
+## § 40 — Bussgeld
+- Verhindern einer Meldung: bis **20.000 EUR**
+- Verstoss gegen Verschwiegenheitspflicht: bis **20.000 EUR**
+- Repressalien: bis **50.000 EUR**
+In Kraft seit 01.12.2023 (verzoegerte Sanktions-Anwendung).
+## Audit-Relevanz fuer Skill
+Wenn Site-Operator > 50 MA hat:
+```
+Pflicht-Surfaces:
+- Internal Channel: /api/hinweis oder externer Provider
+- AGB / Compliance-Doku: Hinweisgeberschutz-Paragraph
+- Mitarbeiter-Information: Pflicht zur jaehrlichen Schulung empfohlen
+- Datenschutz: AVV mit externem Hinweisgeber-Provider
+```
+## Audit-Pattern
+```
+**Finding**: 80-MA-Operator ohne dokumentierten Hinweisgeber-Meldekanal
+**Wahrsch.**: 30% (BfDI-/Bundesamt-Pruefung haeufig nur bei Anlass)
+**§**: § 12 + § 40 HinSchG
+**€-Range**: bis 20.000 EUR + Repressalien-Risiko 50.000 EUR
+**Fix**:
+- Meldekanal aufbauen (intern oder extern)
+- Mitarbeiter-Info-Mail mit Kanal-Beschreibung
+- AGB / Compliance-Handbuch ergaenzen
+- AVV mit Provider falls extern
+```
+## Source
+- [gesetze-im-internet.de — HinSchG](https://www.gesetze-im-internet.de/hinschg/)
+- [IHK Stuttgart — HinSchG-FAQ](https://www.ihk.de/stuttgart/fuer-unternehmen/recht-und-steuern/arbeitsrecht/whistleblowing-5169770)
+- [BMJ HinSchG-Page](https://www.bmj.de/DE/themen/strafrecht/whistleblowing/whistleblowing_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/INDEX.md ADDED Viewed

@@ -0,0 +1,93 @@
+---
+status: skeleton
+purpose: Strukturierte Pflicht-§-Auszuege pro Gesetz. Volltext NICHT kopieren — Tenor-Kurzfassungen + Audit-Relevance-Mapping.
+maintainer-note: Diese Datei ist der Entry-Point fuer Phase 2 Maxout. Bitte beim Befuellen Provenance-Disziplin (SKILL.md §5) wahren.
+---
+# `references/gesetze/` — Skeleton + Befuell-Plan
+> Status: **skeleton**. Ziel: pro Gesetz ein File mit den fuer Web/SaaS-Audit
+> relevanten §§. KEIN Volltext — strukturierte Tenor-Auszuege + Anwendungs-Mapping.
+>
+> **Source-Pflicht analog SKILL.md §5**: jeder Eintrag braucht eine
+> Source-URL. Primaerquelle: `gesetze-im-internet.de` (BMJ, gemeinfrei
+> per § 5 UrhG) bzw. `eur-lex.europa.eu` (CC BY 4.0 Attribution).
+## Befuell-Reihenfolge (priorisiert nach Audit-Frequenz)
+### Tier 1 — Pflicht fuer JEDES Audit (befuellen zuerst)
+- [ ] `DSGVO/articles.md` — alle 99 Artikel mit 1-Satz-Tenor, audit-relevance-Mapping
+- [ ] `DSGVO/recitals.md` — die ~30 Erwaegungsgruende, die in Bgh-/EuGH-Urteilen wiederkehrend zitiert werden (1, 4, 26, 32, 33, 39, 47, 49, 71, 75, 80, 85, 87, 91, 146, 158, 173)
+- [ ] `BDSG/paragraphs.md` — §§ 1-85, Fokus auf §§ 1-7 (Begriff), 26 (Beschaeftigtendaten), 27 (wissenschaftliche Forschung), 38 (Datenschutzbeauftragter), 41 (Bussgeld)
+- [ ] `TDDDG/paragraphs.md` — §§ 1-31, **Fokus § 25** (Cookies / Telemediendienste-Endgeraet-Zugriff)
+- [ ] `DDG/paragraphs.md` — vormals TMG seit 14.03.2024, Fokus § 5 (Impressum), §§ 7-10 (Haftung)
+- [ ] `BGB/paragraphs.md` — §§ 305-310 (AGB), §§ 312-312k (Verbraucherschutz), § 355 (Widerruf), §§ 357-357d (Widerrufsfolgen), §§ 651a-y (Pauschalreise), §§ 666 ff. (Auftrag, B2B-Service)
+- [ ] `UWG/paragraphs.md` — §§ 3, 3a, 5, 5a, 6, 7, 8, 13 — Hauptabmahn-Vehikel im Web
+### Tier 2 — Branchen-/Kontext-spezifisch (nach Tier 1)
+- [ ] `HGB-AO/paragraphs.md` — HGB § 257 (6/10-Jahre-Aufbewahrung), AO § 147 (10-Jahre)
+- [ ] `VSBG/paragraphs.md` — § 36 (Verbraucherschlichtung-Hinweis-Pflicht), § 17
+- [ ] `EU-Verordnungen/DSA-2022-2065/articles.md` — 93 Artikel, Fokus Art. 14 (Notice-and-Action), 16 (Notice-Endpoint), 22 (Out-of-court-Dispute), 24 (Transparency), 26-28 (Werbung)
+- [ ] `EU-Verordnungen/AI-Act-2024-1689/articles.md` — 113 Artikel, Fokus Art. 5 (Verbotene KI), 6-15 (Hochrisiko), 50 (Transparenz/KI-Hinweis), 99 (Sanktionen)
+- [ ] `BFSG/paragraphs.md` — Pflicht seit 28.06.2025 fuer B2C-Online
+- [ ] `HinSchG/paragraphs.md` — Hinweisgeberschutz-Gesetz (B2B mit > 50 MA)
+- [ ] `NIS2UmsuCG-BSIG/paragraphs.md` — sobald in Kraft (deutsche NIS2-Umsetzung)
+- [ ] `StGB/relevante-paragraphen.md` — §§ 202a-d (Datenausspaehung), 263a (Computerbetrug), 269 (Faelschung beweiserheblicher Daten)
+### Tier 3 — Branchen-Spezifisch (on-demand)
+- [ ] `EU-Verordnungen/DMA-2022-1925/articles.md` — fuer Plattformen ueber Schwellwert
+- [ ] `EU-Verordnungen/ODR-524-2013/articles.md` — Art. 14 ODR-Link-Pflicht
+- [ ] `EU-Verordnungen/eIDAS-910-2014/articles.md` — Trust-Services, qualifizierte Signaturen
+- [ ] `KritisDachG/paragraphs.md` — KRITIS (KRITIS-Sektoren)
+- [ ] `HWG-LMIV-HOAI-BORA-MPDG-GlueStV-JuSchG-FernUSG/audit-relevance.md` — Branchen-Kompendium
+- [ ] `IHK-DSK-EDSA-Guidelines/stellungnahmen.md` — wichtige Aufsichtsbehoerden-Stellungnahmen
+## Format pro File (Vorlage)
+```markdown
+---
+license: gemeinfrei nach § 5 UrhG (DE) / CC BY 4.0 (EU-Verordnungen)
+source: <primary-URL>
+last-checked: <YYYY-MM-DD>
+---
+# <Gesetz / Verordnung> — Audit-relevante Paragraphen / Artikel
+> Strukturierter Auszug fuer brutaler-anwalt-Audits.
+> Volltext: <primary-URL>
+## § / Art. <Nr.> — <Kurz-Bezeichnung>
+**Tenor (1-2 Saetze):** <Inhalt>
+**Audit-Relevanz:**
+- Auf welcher Audit-Surface tritt dies auf? (Site, Code, Doku, AGB, DSE)
+- Welche Findings im Skill triggern dies?
+- Welche Az.-Belege sind verknuepft? (Cross-Ref zu bgh-urteile.md)
+**Fix-Pattern (wenn anwendbar):** <Verweis auf templates/>
+**Source:** <URL zur Primaerquelle>
+```
+## Quellen-Liste
+### Primaer (DE)
+- https://www.gesetze-im-internet.de/ — BMJ, Pflicht-Quelle DE-Gesetze
+- https://juris.bundesgerichtshof.de/ — BGH-Entscheidungen-DB
+### Primaer (EU)
+- https://eur-lex.europa.eu/ — alle EU-Verordnungen + Richtlinien
+- https://curia.europa.eu/ — EuGH-Entscheidungen
+### Sekundaer (akzeptabel mit `[secondary-source-verified]`-Tag)
+- https://dejure.org/, https://openjur.de/, https://rewis.io/
+- https://www.bird-bird.com/, https://www.noerr.com/ (Anwalts-Blogs)
+- https://www.edpb.europa.eu/ (EDPB-Guidelines)
+## NICHT-Inhalt dieser Files
+- KEIN kompletter Gesetzes-Volltext (Token-Effizient-Regel)
+- KEINE Erwaegungs-Diskussion (das ist Aufgabe von Anwalts-Texten)
+- KEINE Az.-Sammlung (gehoert in `bgh-urteile.md`)
+- KEINE Branchen-spezifischen Pflicht-Klauseln (gehoert in `branchenrecht.md`)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/JuSchG-JMStV/articles.md ADDED Viewed

@@ -0,0 +1,86 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/juschg/
+last-checked: 2026-05-02
+purpose: JuSchG + JMStV — Kinder-/Jugendschutz Online.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# JuSchG + JMStV — Audit-relevante Paragraphen
+> JuSchG (Jugendschutzgesetz): https://www.gesetze-im-internet.de/juschg/
+> JMStV (Jugendmedienschutz-Staatsvertrag): https://medienanstalt-nrw.de/themen/jugendschutz/jugendmedienschutz-staatsvertrag-jmstv.html
+## Anwendungsbereich
+JMStV gilt fuer:
+- Online-Inhalte mit Verbreitung in DE
+- Plattformen die User-Content veroeffentlichen
+- Online-Spiele
+- Streaming-Dienste
+## Pflichten
+### Alters-Kennzeichnung (§§ 5-12 JMStV)
+Inhalte muessen entsprechend Alters-Stufe gekennzeichnet:
+- Alle (ab 0)
+- Ab 6, 12, 16, 18
+### Schutz Minderjaehriger (§§ 4-5 JMStV)
+- Verbot entwicklungsbeeintraechtigender Inhalte
+- Pflicht zur technischen Zugangsbarriere (z.B. AGE-Gate, AVS)
+### Werbung-Beschraenkung (§ 6 JMStV)
+- Verbot Werbung an Kinder die zur Bestellung verleiten
+- Trennungsgrundsatz (klare Werbe-Kennzeichnung)
+### Anbieter-Pflichten (§ 7 JMStV)
+- Beauftragter fuer Jugendmedienschutz (ab bestimmter Anbieter-Groesse)
+- Doku-Pflicht
+- Zusammenarbeit mit Aufsicht (KJM, BzKJ)
+## Kinder-Cookies + DSA Art. 28
+Cross-Layer:
+- DSGVO Art. 8 — Einwilligung Kinder unter 16 Jahre nur durch Eltern
+- DSA Art. 28 — Verbot personalisierter Werbung an Minderjaehrige basierend auf Profiling
+- JMStV — entwicklungsbeeintraechtigende Inhalte mit Zugangsbarriere
+## Audit-Trigger
+Wenn Site Minderjaehrige adressiert:
+- AGE-Gate vorhanden?
+- DSGVO-Einwilligung Eltern bei < 16 Jahre?
+- Trennungsgrundsatz Werbung/Content?
+- DSA Art. 28-Konformitaet (kein Targeting basierend auf Profiling)?
+## Sanktionen (§ 24 JMStV)
+- bis 500.000 EUR pro Verstoss
+- KJM kann Verbreitungs-Verbot
+## Audit-Pattern
+```
+**Finding**: Plattform mit jugendlichem Zielpublikum + Profiling-Werbung
+**Wahrsch.**: 50% (KJM/BzKJ-Pruefungen + DSA-Verbund)
+**§**: DSA Art. 28 + § 6 JMStV + DSGVO Art. 8
+**€-Range**: 50.000-500.000 EUR
+**Fix**:
+- AGE-Gate bei Onboarding
+- Profiling-basierte Werbung deaktivieren fuer < 18-Jaehrige
+- Eltern-Einwilligungs-Flow bei < 16-Jaehrigen
+```
+## Source
+- [gesetze-im-internet.de — JuSchG](https://www.gesetze-im-internet.de/juschg/)
+- [JMStV (Medienanstalt NRW)](https://medienanstalt-nrw.de/themen/jugendschutz/jugendmedienschutz-staatsvertrag-jmstv.html)
+- [BzKJ Bundeszentrale fuer Kinder- und Jugendmedienschutz](https://www.bzkj.de/)
+- [KJM Kommission fuer Jugendmedienschutz](https://www.kjm-online.de/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/KritisDachG/articles.md ADDED Viewed

@@ -0,0 +1,39 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.bbk.bund.de/
+last-checked: 2026-05-02
+purpose: KRITIS-Dachgesetz — physische Sicherheit kritischer Einrichtungen.
+status: skeleton (noch nicht in Kraft)
+---
+# KritisDachG (Skeleton)
+> KRITIS-Dachgesetz. Stand 2026-05: Bundestag-Verfahren — noch nicht in Kraft.
+> Setzt CER-RL (RL 2022/2557) in DE-Recht um.
+## Status
+- CER-RL Umsetzungsfrist 17.10.2024 ueberschritten
+- KritisDachG-Entwurf in Bundestag
+- Stand 2026-05: Inkrafttreten verzoegert
+## Anwendungsbereich (geplant)
+KRITIS-Sektoren — physische Sicherheit:
+- Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, oeffentliche Verwaltung, Raumfahrt, Lebensmittel.
+## Pflichten (gemaess CER-RL)
+- Risk-Assessment (physische + Cyber)
+- Resilienz-Plan
+- Notfall-Plan + Uebung
+- Mitarbeiter-Sicherheitspruefung
+## Defer-Marker
+> **Vollstaendige Bearbeitung wenn KritisDachG in Kraft tritt**.
+## Source
+- [BBK (Bundesamt fuer Bevoelkerungsschutz und Katastrophenhilfe)](https://www.bbk.bund.de/)
+- [CER-RL](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/LkSG/articles.md ADDED Viewed

@@ -0,0 +1,90 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/lksg/
+last-checked: 2026-05-02
+purpose: LkSG (Lieferkettensorgfalt) — Sorgfaltspflicht in Lieferkette.
+verification-status: verified
+skill-output-disclaimer: "Top-Layer-verifiziert (gesetze-im-internet.de) — Sanktions-Hoehen + Schwellwerte primaer-verifiziert"
+last-verified: 2026-05-05
+---
+# LkSG — Audit-relevante Paragraphen
+> Lieferkettensorgfaltspflichtengesetz, in Kraft seit 01.01.2023.
+> Volltext: https://www.gesetze-im-internet.de/lksg/
+## Anwendungsbereich (§ 1)
+- Seit 2023: >= 3.000 MA mit DE-Sitz
+- Seit 2024: >= 1.000 MA mit DE-Sitz
+- Indirekt: kleinere Unternehmen als Lieferanten betroffen
+## Sorgfaltspflichten (§§ 3-9)
+### Risk-Analyse (§ 5)
+- Mind. jaehrlich
+- Eigenes Geschaeft + direkte Lieferanten
+- Bei Anlass: indirekte Lieferanten
+### Risiken-Felder
+Menschenrechts-Risiken:
+- Kinderarbeit, Zwangsarbeit, Sklaverei
+- Diskriminierung, Loehne unter Mindestlohn
+- Vereinigungsfreiheit
+- Schaedliche Boden-/Wasser-/Luft-Veraenderung
+Umwelt-Risiken:
+- Quecksilber-Konvention, POP-Konvention, Basel-Konvention
+### Risikomanagement (§ 4)
+- Beauftragter benennen
+- Praeventionsmassnahmen
+- Beschwerde-Mechanismus
+- Doku-Pflicht
+### Berichtspflichten (§ 10)
+Jaehrlicher Bericht ans BAFA (Bundesamt fuer Wirtschaft und Ausfuhrkontrolle).
+## § 24 — Bussgeld
+| Verstoss | Hoechstbetrag |
+|---|---|
+| Bestimmte Ordnungswidrigkeiten (§ 24 Abs. 2 Nr. 1) | bis **100.000 EUR** |
+| Andere Ordnungswidrigkeiten (§ 24 Abs. 2 Nr. 2-3) | bis **500.000 EUR** |
+| Praevention/Abhilfe nicht oder nicht rechtzeitig | bis **800.000 EUR** |
+| **Umsatzbasierter Cap** (Unternehmen > 400 Mio. EUR Jahresumsatz) | bis **2% globaler Jahresumsatz** ODER **8 Mio. EUR** (je nachdem was hoeher) |
+- Bei Wiederholung: Vergabe-Sperre fuer oeffentliche Auftraege (§ 22)
+- BAFA-Praxis 2024-2025: Bussgelder vor allem bei schweren Menschenrechts-Verletzungen
+## Verhaeltnis zu CSDDD
+CSDDD (EU-Lieferkettenrichtlinie) ergaenzt LkSG. Umsetzungsfrist 26.07.2027.
+Wahrscheinlich: LkSG wird CSDDD-konform aktualisiert.
+## Audit-Relevanz
+KMU-Vibecoder: nicht direkt anwendbar. Aber als Lieferant grosser Unternehmen:
+- Anfrage-Pflicht zur Selbstauskunft
+- Vertragsklauseln zur Menschenrechts-Compliance
+## Audit-Pattern (KMU als Lieferant)
+```
+**Finding**: SaaS-Provider liefert an > 1.000-MA-Kunden ohne Selbstauskunfts-Doku
+**Wahrsch.**: 25% (typisch in B2B-Vertraegen verlangt)
+**§**: § 5-6 LkSG (indirekte Lieferanten-Pflicht)
+**Fix**:
+- Selbstauskunfts-Form vorbereiten (Quellen + Lieferanten + Risiko-Bereiche)
+- AGB-Klausel: „Wir bestaetigen Einhaltung Menschenrechts-Standards"
+- Jaehrliche Aktualisierung
+```
+## Source
+- [gesetze-im-internet.de — LkSG](https://www.gesetze-im-internet.de/lksg/)
+- [BAFA LkSG-Page](https://www.bafa.de/DE/Lieferketten/Lieferketten/lieferketten_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/MedTech/DiGAV.md ADDED Viewed

@@ -0,0 +1,60 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/digav/
+last-checked: 2026-05-02
+purpose: DiGAV — Digitale-Gesundheitsanwendungen-Verordnung.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# DiGAV — Digitale Gesundheitsanwendungen
+> DiGAV (Digitale-Gesundheitsanwendungen-Verordnung), in Kraft seit 28.04.2020.
+> Volltext: https://www.gesetze-im-internet.de/digav/
+## Konzept DiGA
+DiGA = Digitale Gesundheits-App, die:
+- CE-zertifiziert (Klasse I oder IIa nach MDR)
+- Vom BfArM in DiGA-Verzeichnis aufgenommen
+- Kann durch Krankenkassen erstattet werden (auf Rezept)
+## Aufnahme-Verfahren ($\\S$ 33a SGB V + $\\S$ 139e SGB V)
+### Voraussetzungen
+- CE-Kennzeichnung (MDR Klasse I oder IIa)
+- Sicherheit + Funktionstauglichkeit
+- Datenschutz + Datensicherheit (BSI-Konformitaet, ISO 27001)
+- Versorgungs-Effekt nachgewiesen (Studien, Real-World-Evidence)
+### Verfahren
+- Antrag bei BfArM
+- Pruefung 3-12 Monate
+- Vorlauefige Aufnahme moeglich (12 Monate)
+- Endgueltige Aufnahme nach Versorgungs-Effekt-Nachweis
+## DiGA-Liste
+Aktuelle Liste: https://diga.bfarm.de/
+## Audit-Trigger
+Wenn Site Health-App anbietet:
+- Targetiert sie Kassenpatienten? (typischer KMU-Use-Case)
+- DiGA-Listung erfolgt?
+- Wenn nicht: ist Listung sinnvoll? (Marketing-Vorteil)
+- DSGVO Art. 9 Pflicht-Doku
+## Cross-Reference
+- MDR: `references/gesetze/MedTech/MDR-2017-745.md`
+- Branche Telemedizin: `references/branchenrecht.md`
+## Source
+- [gesetze-im-internet.de — DiGAV](https://www.gesetze-im-internet.de/digav/)
+- [BfArM DiGA-Verzeichnis](https://diga.bfarm.de/)
+- [SGB V § 139e](https://www.gesetze-im-internet.de/sgb_5/__139e.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/MedTech/IVDR-2017-746.md ADDED Viewed

@@ -0,0 +1,51 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0746
+last-checked: 2026-05-02
+purpose: IVDR — In-Vitro-Diagnostika-Verordnung 2017/746.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# IVDR — VO 2017/746
+> In-Vitro Diagnostic Regulation. Anwendbar seit 26.05.2022.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0746
+## Geltungsbereich
+In-Vitro-Diagnostika:
+- Reagenzien, Kalibratoren, Kontrollmaterial
+- Analyse-Geraete (z.B. Blutzucker, Schwangerschafts-Test)
+- Software zur Auswertung von In-Vitro-Tests (z.B. Lab-Result-AI)
+## Klassifikation (Art. 47 + Anhang VIII)
+| Klasse | Beispiel |
+|---|---|
+| A | gering — Pufferloesungen |
+| B | mittel — Schwangerschafts-Test |
+| C | hoch — HIV-Test, Tumor-Marker |
+| D | hoechstes — Blutgruppe-Test |
+## Pflichten analog MDR
+- CE-Kennzeichnung
+- Klinische Validierung
+- Vigilanz-Meldung
+- EUDAMED-Listung
+## Audit-Relevanz
+Wenn Site / SaaS:
+- Online-Lab-Tests anbietet
+- AI-basierte Auswertung von In-Vitro-Tests
+- Sample-Booking-System mit Diagnose-Output
+→ IVDR-Compliance pruefen.
+## Source
+- [eur-lex.europa.eu — VO 2017/746](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0746)
+- [BfArM IVDR](https://www.bfarm.de/DE/Medizinprodukte/Aufgaben/IVD/_node.html)