npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/MedTech/MDR-2017-745.md ADDED Viewed

@@ -0,0 +1,85 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0745
+last-checked: 2026-05-02
+purpose: MDR — Medizinprodukte-Verordnung 2017/745.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# MDR — VO 2017/745
+> Medical Device Regulation. Anwendbar seit 26.05.2021 (mit Verlaengerungen fuer Bestandsprodukte).
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0745
+## Klassifikation (Anhang VIII)
+| Klasse | Risiko | Beispiel |
+|---|---|---|
+| I | gering | Brillen, OP-Handschuhe |
+| Is | sterilisiert | Verbandsmaterial |
+| Im | mit Messfunktion | Thermometer |
+| IIa | mittleres Risiko | Hoergeraete, Roentgenfilm |
+| IIb | hohes Risiko | Defibrillator |
+| III | hoechstes Risiko | Implantate, Herzschrittmacher |
+## Software als Medizinprodukt (SaMD)
+DURCH MDR explizit erfasst:
+- Stand-alone Software die Diagnose / Behandlung / Praevention dient
+- Klassifikation analog Hardware (Klasse I bis III)
+- Beispiele: Symptom-Checker mit Diagnose-Output, AI-Diagnose-Tool, Tumor-Erkennung
+## Pflichten
+### CE-Kennzeichnung (Art. 20)
+- Konformitaetsbewertung
+- Benannte Stelle bei Klasse IIa+ erforderlich
+- Konformitaetserklaerung des Herstellers
+### Technische Doku (Anhang II)
+- Produkt-Beschreibung
+- Klinische Bewertung
+- Risiko-Management
+- Qualitaetsmanagement-System
+### Klinische Bewertung (Art. 61)
+Pflicht fuer alle Klassen, intensitaet steigt mit Klasse.
+### Vigilanz (Art. 87-89)
+Schwerwiegende Vorfaelle melden an BfArM (DE).
+### EUDAMED-Datenbank
+Registrierung Pflicht (Art. 33).
+## Sanktionen
+DE-Umsetzung: MPDG (Medizinprodukterecht-Durchfuehrungsgesetz).
+- Bussgeld bis 30.000 EUR pro Verstoss
+- Strafanzeige bei Vorsatz / Gefaehrdung
+## Audit-Trigger fuer Skill
+Wenn Site Software/App anbietet die unter SaMD faellt:
+- CE-Kennzeichnung Pflicht
+- BfArM-Listung
+- Klinische Bewertung
+- Cross-Layer mit DSGVO Art. 9 (Gesundheitsdaten) + AI-Act (wenn AI-basierte Diagnose)
+## Cross-Reference
+- DiGAV: `references/gesetze/MedTech/DiGAV.md`
+- IVDR (In-Vitro): `references/gesetze/MedTech/IVDR-2017-746.md`
+- Branche Telemedizin: `references/branchenrecht.md`
+## Source
+- [eur-lex.europa.eu — VO 2017/745](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32017R0745)
+- [BfArM Medizinprodukte](https://www.bfarm.de/DE/Medizinprodukte/_node.html)
+- [MPDG (DE)](https://www.gesetze-im-internet.de/mpdg/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/NIS2UmsuCG-BSIG/articles.md ADDED Viewed

@@ -0,0 +1,53 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/bsig_2009/
+last-checked: 2026-05-02
+purpose: NIS2UmsuCG (DE-Umsetzung NIS2-RL) + aktuelles BSIG.
+status: skeleton (NIS2UmsuCG noch im Bundestags-Verfahren)
+---
+# NIS2UmsuCG + BSIG (Skeleton)
+> NIS2UmsuCG = NIS2-Umsetzungs- und Cybersicherheitsstaerkungs-Gesetz.
+> Stand 2026-05: Bundestags-Verfahren laufend, Inkrafttreten verzoegert.
+> Bis zum Inkrafttreten gilt das alte BSIG (BSI-Gesetz).
+## Aktueller Status
+| Quelle | Stand |
+|---|---|
+| **NIS2-RL 2022/2555** | EU-Recht, Umsetzungsfrist 17.10.2024 ueberschritten |
+| **NIS2UmsuCG-Entwurf** | Bundestag Stand 2026-05 (Verzoegerung) |
+| **BSIG (alt)** | Subsidiaer in Kraft, deckt KRITIS aber NICHT alle 18 NIS2-Sektoren |
+| **EU-KOM-Vertragsverletzungsverfahren** | Eingeleitet bei verspaeteter Umsetzung |
+## Direkte Wirkung der NIS2-RL
+Trotz fehlender DE-Umsetzung:
+- NIS2-Pflicht-Inhalte koennen ueber Art. 288 AEUV (vertikale Direkt-Wirkung) angewandt werden
+- Aufsichtsbehoerden koennen NIS2-Konformitaet de facto erwarten
+## Pflichten gemaess NIS2-RL (uebernommen)
+Siehe `references/gesetze/EU-Verordnungen/NIS2-2022-2555/articles.md` fuer Details:
+- 18 Sektoren (hochkritisch + andere kritisch)
+- Schwellwerte: wesentliche / wichtige Einrichtung
+- Risikomanagement (10 Mindestmassnahmen)
+- 24h/72h/1M-Meldepflichten
+- Geschaeftsleitung-Haftung
+## Audit-Empfehlung fuer Skill
+Wenn Operator unter NIS2-Sektor faellt + Schwellwert erfuellt:
+- BSIG-alt anwenden + NIS2-konforme Vorbereitung
+- Bei Inkrafttreten NIS2UmsuCG: nahtloser Uebergang
+## Defer-Marker
+> **Vollstaendige Bearbeitung wenn NIS2UmsuCG in Kraft tritt** — voraussichtlich Q4 2026 oder Q1 2027.
+## Source
+- [BSIG (alt)](https://www.gesetze-im-internet.de/bsig_2009/)
+- [BMI NIS2UmsuCG](https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Themen/IT-Cyber/nis2umsucg.html)
+- [BSI NIS2-Page](https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2/nis-2_node.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/StGB/relevante-paragraphen.md ADDED Viewed

@@ -0,0 +1,157 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/stgb/
+last-checked: 2026-05-02
+purpose: StGB §§ 202a-d + verwandte IT-Strafrechts-Tatbestaende.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# StGB — IT-relevante Paragraphen
+> Volltext: https://www.gesetze-im-internet.de/stgb/
+## § 202a — Ausspaehen von Daten
+> „Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht fuer ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Ueberwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft."
+### Tatbestand
+- **Unbefugter Zugang** zu Daten
+- Daten nicht fuer Taeter bestimmt
+- Daten gegen unberechtigten Zugang **besonders gesichert** (= Verschluesselung, Passwort, Zugriffskontrolle)
+- **Ueberwindung der Zugangssicherung**
+### Praxis-Hinweis
+Wenn Daten KEINE Sicherung haben (z.B. Public-Endpoint ohne Auth) → KEIN § 202a-Vorfall (Schutzgebot der „Sicherung").
+Aber Datenpanne nach Art. 33 DSGVO + ggf. § 263 StGB (Computerbetrug) trotzdem moeglich.
+### Strafe
+- Bis **3 Jahre Freiheitsstrafe oder Geldstrafe**
+- Antragsdelikt (§ 205) — Strafverfolgung nur auf Antrag (ausser bei besonderem oeffentlichen Interesse)
+## § 202b — Abfangen von Daten
+> „Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nichtoeffentliche Datenuebermittlung oder die elektromagnetische Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."
+### Tatbestand
+- WLAN-Sniffing, Man-in-the-Middle (MITM)
+- TLS-Bypass
+- Bluetooth/NFC-Abhoeren
+### Strafe
+- Bis 2 Jahre Freiheitsstrafe oder Geldstrafe.
+## § 202c — Vorbereiten des Ausspaehens und Abfangens („Hackertools-Paragraph")
+> „Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwoerter (...) oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen ueberlasst, verbreitet oder sonst zugaenglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."
+### Tatbestand
+- Tools deren Zweck die Begehung einer 202a/b-Tat ist
+- Strittig wegen Dual-Use-Tools (Pen-Test, Sicherheitsforschung)
+### Praxis-Hinweis (BVerfG 2009)
+BVerfG hat § 202c verfassungskonform reduziert: nur Tools mit **PRIMAERER** Tatzweck-Bestimmung sind strafbar. Dual-Use-Tools (Wireshark, nmap, metasploit) sind im legitimen Sicherheitskontext nicht erfasst.
+**Aber**: aktive Pen-Tests gegen Drittseite ohne Authorisierung = § 202a-Versuch (auch ohne erfolgreichen Zugriff).
+## § 202d — Datenhehlerei
+Hehlerei mit personenbezogenen Daten — Empfangen/Sich-Verschaffen ausgespaehter Daten ist strafbar.
+## § 263a — Computerbetrug
+> „Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermoegensvorteil zu verschaffen, das Vermoegen eines anderen dadurch beschaedigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollstaendiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst (...)."
+### Tatbestand
+- Manipulation Datenverarbeitungs-Vorgang
+- Vermoegen-Schaden
+### Beispiele
+- Manipulierte Online-Shop-Bestellung (Pricing-Bypass)
+- Identity-Theft + Auto-Bezahlung
+- ATM-/Kartenleser-Manipulation
+### Strafe
+- Bis 5 Jahre, in besonders schweren Faellen bis 10 Jahre.
+## § 269 — Faelschung beweiserheblicher Daten
+> „Wer zur Taeuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder veraendert, dass bei ihrer Wahrnehmung eine unechte oder verfaelschte Urkunde vorliegen wuerde (...)."
+### Tatbestand
+- Manipulation von Logs / E-Mail-Headers / Meta-Daten
+### Beispiele
+- Gefaelschte E-Mail-Header
+- Manipulierte Server-Logs
+- DKIM-Signature-Faelschung
+## § 303a — Datenveraenderung
+> „Wer rechtswidrig Daten loescht, unterdrueckt, unbrauchbar macht oder veraendert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft."
+### Tatbestand
+- Unbefugte Loeschung / Veraenderung fremder Daten
+### Beispiele
+- Server-Logs nach Datenpanne loeschen (zur Verschleierung)
+- Datenbank-Manipulation durch ehemaligen Mitarbeiter
+## § 303b — Computersabotage
+> „Wer eine Datenverarbeitung, die fuer einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stoert, dass er
+> 1. eine Tat nach § 303a Abs. 1 begeht oder
+> 2. Daten in der Absicht, einem anderen Nachteil zuzufuegen, eingibt oder uebermittelt oder
+> 3. eine Datenverarbeitungsanlage oder einen Datentraeger zerstoert, beschaedigt, unbrauchbar macht, beseitigt oder veraendert,
+> wird mit Freiheitsstrafe bis zu drei Jahren (...)."
+### Tatbestand
+- DDoS-Attacken
+- Ransomware
+- Stoerung kritischer IT-Infrastruktur
+### Strafe
+- Standard: bis 3 Jahre
+- Bei kritischer Infrastruktur (Versorgung, Hilfsdienste): bis 10 Jahre
+## Pen-Test-Grenzen (Cross-Reference zu AEGIS)
+AEGIS active probes (`aegis siege` / `aegis pentest`) sind Dual-Use Tools.
+Compliant nur bei:
+- Operator-Authorisierung (eigenes System)
+- Schriftliche Pen-Test-Vereinbarung
+- Bug-Bounty-Programm-Scope
+OHNE Authorisierung: § 202a/b/c-Versuch + § 202d (bei erfolgreicher Daten-Erfassung) + § 303a/b (bei Stoerung).
+## Audit-Relevanz fuer Skill
+| Audit-Surface | StGB-Pflicht |
+|---|---|
+| HTTPS auf gesamter Site | sonst § 202a / § 202b leichter zu erfuellen |
+| Brute-Force-Lockout auf Login | sonst Tatbestand-naehe Versuch |
+| Audit-Logs unveraenderbar | § 269 / § 303a-Schutz |
+| Pen-Test-Disclaimer auf Site | § 202c-Distance |
+| security.txt mit Coordinated Vulnerability Disclosure | de-eskalierende Info |
+## Source
+- [gesetze-im-internet.de — StGB](https://www.gesetze-im-internet.de/stgb/)
+- [BVerfG zu § 202c](https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2009/bvg09-058.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/TDDDG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,33 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: TDDDG Audit-Relevance — Cookie-/Endgeraet-Layer.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# TDDDG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei JEDER Site mit:
+- Cookie-Banner
+- LocalStorage / SessionStorage / IndexedDB
+- Browser-Fingerprinting
+- Service-Worker
+- Tracking-Scripts (GA, Matomo, Plausible, etc.)
+## Pflicht-Surfaces
+| Surface | TDDDG-§ |
+|---|---|
+| Cookie-Banner | § 25 Abs. 1 |
+| LocalStorage-Tracking | § 25 Abs. 1 |
+| Funktionale Cookies (Session) | § 25 Abs. 2 Nr. 2 |
+| Pre-Tick-Boxen | § 25 Abs. 1 + EuGH C-673/17 |
+| Reject-All-Button | § 25 Abs. 1 + EDPB Guidelines 03/2022 |
+## Cross-Reference
+- ePrivacy-RL: `gesetze/ePrivacy-RL-2002-58/`
+- Audit-Pattern Cookie: `audit-patterns.md` Phase 5

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/TDDDG/paragraphs.md ADDED Viewed

@@ -0,0 +1,68 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/ttdsg/
+last-checked: 2026-05-01
+purpose: TDDDG (vormals TTDSG) — relevante Paragraphen mit Audit-Mapping. Gilt seit 14.05.2024 (vorher TTDSG seit 01.12.2021).
+---
+# TDDDG — Audit-relevante Paragraphen
+> Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
+> Vormals TTDSG, umbenannt zum 14.05.2024 (DSA-Anpassungsgesetz).
+> Volltext: https://www.gesetze-im-internet.de/ttdsg/ (kanonischer URL bleibt
+> der Legacy-Slug; `/tdddg/` und `/tddg/` sind 404)
+## § 25 — Schutz der Privatsphäre bei Endeinrichtungen (Cookies)
+### Abs. 1 — Einwilligungspflicht
+Speichern oder Auslesen von Informationen in der Endeinrichtung des Endnutzers darf NUR mit:
+- Einwilligung des Endnutzers (Art. 4 Nr. 11 + Art. 7 DSGVO)
+- nach klarer und umfassender Information
+### Abs. 2 — Einwilligungs-Ausnahmen
+Keine Einwilligung erforderlich wenn:
+- Nr. 1: alleiniger Zweck = Übertragung einer Nachricht
+- Nr. 2: unbedingt erforderlich, um Telemediendienst auf ausdrücklichen Wunsch des Nutzers zu erbringen
+### Abs. 3 — Definitionen
+„Endeinrichtung" = Endgerät (Browser, App).
+**Audit-Relevanz:**
+- Cookie-Banner Pflicht-Trigger
+- Pre-checked-Boxen unzulässig (EuGH C-673/17 Planet49 + BGH I ZR 7/16)
+- Reject-All gleichwertig zu Accept-All (EDPB Guidelines 03/2022)
+- LocalStorage / SessionStorage / IndexedDB / Service-Worker-Cache fallen ebenfalls unter Abs. 1 (sind „Speichern in Endeinrichtung")
+- Pixel-Tracker / Browser-Fingerprinting → ebenfalls Abs. 1 (Auslesen)
+- Funktionale Cookies (Login-Session, Warenkorb, Sprachwahl): Abs. 2 Nr. 2 — keine Einwilligung
+- Session-Recording / A/B-Testing: KEIN Abs.-2-Nr.-2-Fall → Einwilligung nötig
+## § 26 — Anerkannte Einwilligungs-Verwaltungsdienste (PIMS)
+Möglichkeit für „universelle" Cookie-Einwilligungs-Verwaltung. In Praxis 2026 noch nicht aktiv genutzt — Stand der Verordnungsentwicklung beobachten.
+## §§ 1–3 — Anwendungsbereich
+§ 1 + § 2: gilt für Telemedien (= Webseiten, Apps, SaaS) — alle digitalen Dienste außer reine Telekommunikation.
+§ 3: Begriffsbestimmungen.
+---
+## Audit-Mapping (Skill-Auto-Loading)
+| Audit-Surface | TDDDG-§ |
+|---------------|--------|
+| Cookie-Banner | § 25 Abs. 1 |
+| LocalStorage-Tracking | § 25 Abs. 1 |
+| Funktionale Cookies (Session) | § 25 Abs. 2 Nr. 2 |
+| Pre-Tick-Boxen | § 25 Abs. 1 + EuGH C-673/17 |
+| Reject-All-Button | § 25 Abs. 1 + EDPB Guidelines 03/2022 |
+| Browser-Fingerprinting | § 25 Abs. 1 |
+| Server-Side-Tracking | § 25 Abs. 1 (wenn Trigger im Browser) |
+## Migration-Tabelle (TTDSG → TDDDG)
+Inhalt identisch, nur umbenannt zum 14.05.2024.
+- TTDSG § 25 → TDDDG § 25 (Cookies)
+- TTDSG § 24 → TDDDG § 24 (Inhaltsdaten)
+Skill-Output: stets „TDDDG" zitieren (TTDSG nur als historischer Hinweis bei alten Az.).

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/TKG/articles.md ADDED Viewed

@@ -0,0 +1,73 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+source: https://www.gesetze-im-internet.de/tkg_2021/
+last-checked: 2026-05-02
+purpose: TKG (Telekommunikationsgesetz) — TK-Anbieter-Pflichten.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# TKG — Audit-relevante Paragraphen
+> TKG 2021 (in Kraft seit 01.12.2021).
+> Volltext: https://www.gesetze-im-internet.de/tkg_2021/
+## Anwendungsbereich (§ 3)
+TKG gilt fuer:
+- Klassische Telekom-Anbieter (Festnetz / Mobilfunk)
+- VoIP-Provider (Skype, RingCentral)
+- Email-Provider mit Massentaetigkeit
+- Cloud-Communication-APIs (Twilio, MessageBird)
+NICHT erfasst:
+- Dienste ueber Telekom-Layer (Webseiten, Apps) — diese unterliegen TDDDG / DDG
+## § 9 — Anzeigepflicht
+Anzeige bei BNetzA bei Aufnahme des Geschaefts.
+## § 22 — Pflichten zur Telekommunikations-Sicherheit
+- Mind. State-of-the-art TOMs
+- Verschluesselungs-Pflicht
+- Notruf-Routing zu 110/112
+## § 109 — Vertraulichkeit
+Vertraulichkeit der Kommunikation Pflicht.
+## § 169 — Datenschutz-spezifisch
+Verkehrsdaten / Standortdaten / Inhaltsdaten — strenge Loesch-Pflichten.
+## §§ 178-180 — Vorratsdatenspeicherung
+Status 2026: ausgesetzt nach BVerfG-Urteilen + EuGH-Folgen.
+BNetzA hat Aussetzung verkuendet, EU-RL ist offen.
+## Notrufpflichten (§§ 164-167)
+- Notruf 110 + 112 immer kostenfrei
+- Notruf-Routing zu naechstem Leitstand
+- Standortuebermittlung Pflicht (e911-Aequivalent)
+## Sanktionen
+BNetzA-Bussgeld:
+- bis 500.000 EUR pro Verstoss
+- bei Vertraulichkeits-Verletzung bis 100.000 EUR
+## Audit-Trigger
+Wenn Site VoIP / Messaging / Email-Massentaetigkeit anbietet:
+- BNetzA-Anzeige?
+- Notruf-Pflicht (bei VoIP)?
+- TLS-Verschluesselung?
+- Vorratsdatenspeicherung-Status pruefen
+## Source
+- [gesetze-im-internet.de — TKG](https://www.gesetze-im-internet.de/tkg_2021/)
+- [BNetzA TKG-Page](https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/start.html)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/UWG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,39 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: UWG Audit-Relevance — Wettbewerbsrecht / Werbung / Cold-Outreach.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+# UWG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei B2C-Werbung + Cold-Outreach + Affiliate-Sites.
+## Pflicht-Surfaces
+| Surface | UWG-§ |
+|---|---|
+| Allgemeine unlautere Geschaeftspraktiken | § 3 |
+| Rechtsbruch (z.B. DSGVO/Cookie-Verstoss als UWG-Hebel) | § 3a |
+| Irrefuehrende Werbung | § 5 |
+| Aussortierende Geschaeftspraktiken | § 5a |
+| Vergleichende Werbung | § 6 |
+| Belaestigung / Cold-Outreach | § 7 |
+| Unterlassungsanspruch | § 8 |
+| Abmahnberechtigte | § 13 |
+## Az.-Anker
+- BGH I ZR 218/07 (Cold-Outreach-Klassiker, 10.02.2011)
+- BGH I ZR 12/22 (Bestandskunden-Mehrfach-Werbung, 07.06.2023)
+- BGH I ZR 90/20 Cathy Hummels (09.09.2021) — Influencer-Werbung
+- BGH I ZR 35/21 Pamela Reif (09.09.2021) — Influencer-Werbung
+## Cross-Reference
+- Audit-Pattern Email-Outbound: `audit-patterns.md` Phase 5g
+- Branchen Influencer / Affiliate: `branchenrecht.md`
+- Checkliste 3c Affiliate: `checklisten.md`