npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/ePrivacy-RL-2002-58/audit-relevance.md ADDED Viewed

@@ -0,0 +1,62 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058
+last-checked: 2026-05-02
+purpose: ePrivacy-RL — Audit-Trigger fuer Cookies / Direktwerbung / E-Mail.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+# ePrivacy-RL — Audit-Relevance
+## Auto-Loading-Trigger
+```
+1. Cookie-Banner-Detection:
+   - <script data-cookie-banner>
+   - Library: cookieconsent / cookiebot / usercentrics / borlabs / tarteaucitron
+   - HTML-Probe: "Cookie-Einwilligung" / "Akzeptieren" / "Ablehnen"
+2. Tracking-Detection:
+   - GA / Matomo / Plausible / Umami in CSP oder Code
+   - LocalStorage / SessionStorage Aktivitaet
+3. E-Mail-Marketing-Detection:
+   - Newsletter-Form
+   - Mailchimp / SendGrid / Postmark / Brevo Tags
+   - DOI-Token-Pattern in URL-Struktur
+```
+## Pflicht-Surfaces (mit Cross-Reference zu DE-Umsetzung)
+| Surface | ePrivacy-RL | DE-Norm | Skill-Layer |
+|---|---|---|---|
+| Cookie-Banner | Art. 5 Abs. 3 | § 25 TDDDG | `audit-patterns.md` Phase 5 |
+| Pre-Consent-Tracker | Art. 5 Abs. 3 | § 25 TDDDG | `audit-patterns.md` Phase 5 + 1 (CSP) |
+| Newsletter-DOI | Art. 13 Abs. 1 | § 7 UWG | `audit-patterns.md` Phase 5g |
+| Cold-Outreach B2B | Art. 13 Abs. 1+3 | § 7 Abs. 2 UWG | `audit-patterns.md` Phase 5g |
+| Bestandskunden-Werbung | Art. 13 Abs. 2 | § 7 Abs. 3 UWG | `audit-patterns.md` Phase 5g |
+| Push-Notifications | Art. 13 (analog) | § 7 UWG (umstritten) | `audit-patterns.md` Phase 5f |
+## Audit-Pattern (Skill-Output)
+```
+**Finding**: GA-Tracker laedt vor Cookie-Consent
+**Wahrsch.**: 92% (Massen-Abmahn-Welle 2022-2025, Behoerdenpfad zusaetzlich)
+**Kritikalitaet**: 🔴 KRITISCH
+**§**: Art. 5 Abs. 3 ePrivacy-RL + § 25 Abs. 1 TDDDG + Art. 6 DSGVO
+**Az.**: EuGH C-673/17 Planet49 + BGH I ZR 7/16 + OLG Koeln 6 U 80/23
+**€-Range**: 5.000-15.000 EUR (UWG) + Stufe 2 DSGVO bis 4% Umsatz
+**Fix**:
+- Consent-Gate vor Tracker-Load
+- "Reject All"-Button gleichwertig zu "Accept All"
+- Granulare Einwilligung pro Tracker-Kategorie
+- Code-Pattern: siehe `references/stack-patterns/tracking/`
+```
+## Source
+- [RL 2002/58/EG](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058)
+- [TDDDG](https://www.gesetze-im-internet.de/ttdsg/)
+- [EDPB Guidelines](https://www.edpb.europa.eu/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/it-recht.md CHANGED Viewed

@@ -9,17 +9,17 @@
 ### Telemedienrecht / Digitale Dienste
 | Gesetz | Volltext | Relevanz |
 |--------|---------|---------|
-| **TMG** (Telemediengesetz) — bis 28.5.2024 gültig | https://www.gesetze-im-internet.de/tmg/ | Impressumspflicht (§ 5), Haftung für Inhalte (§§ 7-10) — **Achtung: abgelöst durch DDG** |
-| **DDG** (Digitale-Dienste-Gesetz) — seit 14.3.2024 | https://www.gesetze-im-internet.de/ddg/ | Impressumspflicht § 5 (= TMG § 5), Umsetzung des DSA |
+| **TMG** (Telemediengesetz) — bis 13.5.2024 gültig | https://www.gesetze-im-internet.de/tmg/ | Impressumspflicht (§ 5), Haftung für Inhalte (§§ 7-10) — **Achtung: abgelöst durch DDG** |
+| **DDG** (Digitale-Dienste-Gesetz) — seit 14.5.2024 | https://www.gesetze-im-internet.de/ddg/ | Impressumspflicht § 5 (= TMG § 5), Umsetzung des DSA |
 | **DSA** (Digital Services Act, EU 2022/2065) | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2065 | Plattformhaftung, Transparenzpflichten, Risikoaudits für große Plattformen |
 | **DMA** (Digital Markets Act, EU 2022/1925) | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925 | Verpflichtungen für "Gatekeeper" (Apple, Google, Meta, Amazon...) |
-| **TTDSG** | https://www.gesetze-im-internet.de/ttdsg/ | Cookies, E-Privacy (→ auch dsgvo.md) |
+| **TDDDG** (vormals TTDSG, seit 14.05.2024) | https://www.gesetze-im-internet.de/ttdsg/ | Cookies, E-Privacy — Wortlaut § 25 unveraendert (→ auch dsgvo.md) |
 ### IT-Sicherheit
 | Gesetz / Norm | Volltext | Relevanz |
 |--------|---------|---------|
 | **BSIG** (BSI-Gesetz) | https://www.gesetze-im-internet.de/bsig_2009/ | Kritische Infrastrukturen, Meldepflichten, BSI-Befugnisse |
-| **NIS2-Umsetzungsgesetz (NIS2UmsuCG)** | In Kraft seit Oktober 2024 | Erweiterte Sicherheits- und Meldepflichten für viele Unternehmen |
+| **NIS2-Umsetzungsgesetz (NIS2UmsuCG)** | DE-Bundestags-Verfahren laufend (Stand 2026-05-05); EU-NIS2-RL-Frist 17.10.2024 verstrichen ohne DE-Umsetzung — `gesetze/NIS2UmsuCG-BSIG/articles.md` siehe; bis Verabschiedung gilt das BSIG (alt) subsidiaer | Erweiterte Sicherheits- und Meldepflichten fuer viele Unternehmen — bei Eintritt: Bundesrats-Zustimmungs-Bedarf pruefen |
 | **NIS2-Richtlinie (EU 2022/2555)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555 | EU-Grundlage für NIS2 |
 | **IT-Sicherheitsgesetz 2.0** | Änderungen des BSIG | KRITIS-Betreiber, Systeme zur Angriffserkennung |
 | **ISO/IEC 27001:2022** | https://www.iso.org/standard/27001 | Internationaler Standard für Informationssicherheits-Management (ISMS) — kein Gesetz, aber Maßstab für "angemessene TOMs" nach Art. 32 DSGVO und NIS2 |
@@ -28,11 +28,11 @@
 ### ePrivacy
 | Gesetz | Volltext | Relevanz |
 |--------|---------|---------|
-| **TTDSG** (Telekommunikation-Telemedien-Datenschutz-Gesetz) | https://www.gesetze-im-internet.de/ttdsg/ | § 25: Einwilligung für Cookies / Endgerätezugriff; § 24: Öffentliche Netze |
-| **ePrivacy-Richtlinie (2002/58/EG)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058 | EU-Grundlage, durch TTDSG in DE umgesetzt |
+| **TDDDG** (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG seit 14.05.2024) | https://www.gesetze-im-internet.de/ttdsg/ | § 25: Einwilligung fuer Cookies / Endgeraetezugriff; § 24: Oeffentliche Netze. § 25 inhaltlich unveraendert seit TTDSG-Aera. |
+| **ePrivacy-Richtlinie (2002/58/EG)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058 | EU-Grundlage, durch TDDDG (vormals TTDSG) in DE umgesetzt |
 | **ePrivacy-Verordnung (geplant)** | Noch nicht in Kraft (Stand: 2025) | Soll ePrivacy-Richtlinie ersetzen und Cookie-Regeln EU-weit vereinheitlichen — politisch noch blockiert |
-**Praxis-Hinweis ePrivacy:** Bis die ePrivacy-Verordnung in Kraft tritt, gilt das TTDSG. Der Entwurf der Verordnung kann sich noch erheblich ändern — aktuelle Entwicklungen beobachten via https://www.edpb.europa.eu
+**Praxis-Hinweis ePrivacy:** Bis die ePrivacy-Verordnung in Kraft tritt, gilt das TDDDG (vormals TTDSG). Der Entwurf der Verordnung kann sich noch erheblich aendern — aktuelle Entwicklungen beobachten via https://www.edpb.europa.eu
 ### Urheberrecht (Software & Inhalte)
 | Gesetz | Volltext | Relevanz |
@@ -58,6 +58,28 @@
 | **EU AI Act (EU 2024/1689)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689 | Risikobasierter Ansatz für KI-Systeme; ab 2025/2026 schrittweise in Kraft |
 | **Produkthaftungsrichtlinie (neu, 2024)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024L2853 | Haftung auch für Software und KI-Systeme |
+### Verbraucherschutz / Whistleblower / Barrierefreiheit (2023-2025 in Kraft)
+| Gesetz | Volltext | Relevanz |
+|--------|---------|---------|
+| **HinSchG (Hinweisgeberschutzgesetz)** | https://www.gesetze-im-internet.de/hinschg/ | Whistleblower-Schutz; in Kraft seit 02.07.2023; ab 250 MA seit 02.07.2023 Pflicht; ab 50-249 MA seit 17.12.2023 Pflicht. Bussgeld bei fehlendem Meldekanal bis 20.000 EUR (§ 40 HinSchG, Bussgeld-Sanktion seit 01.12.2023). Quelle: [IHK Stuttgart](https://www.ihk.de/stuttgart/fuer-unternehmen/recht-und-steuern/arbeitsrecht/whistleblowing-5169770) |
+| **BFSG (Barrierefreiheitsstaerkungsgesetz)** | https://www.gesetze-im-internet.de/bfsg/ | Setzt EU-Accessibility-Act um; in Kraft seit 28.06.2025 fuer B2C-Online-Angebote (Webshops, Apps mit Vertragsabschluss, Buchungs-Plattformen). WCAG 2.1 Level AA verpflichtend. Mikrounternehmen <2 Mio. EUR Umsatz/Bilanzsumme + <10 MA = ausgenommen. § 30 BFSG Bussgeld bis 100.000 EUR. Quelle: [Wettbewerbszentrale BFSG-Leitfaden](https://www.wettbewerbszentrale.de/barrierefreiheitsstaerkungsgesetz-gilt-ab-28-juni-2025-was-unternehmen-jetzt-wissen-muessen/) · [HÄRTING BFSG im E-Commerce](https://haerting.de/wissen/das-barrierefreiheitsstaerkungsgesetz-bfsg-im-e-commerce/) |
+| **Faires-Verbrauchervertraege-Gesetz** | BGBl. I 2021 S. 4368 | § 309 Nr. 9 lit. b BGB Verlaengerungs-Klausel-Reform (in Kraft seit 01.03.2022) + § 312k BGB Online-Kuendigungsbutton (in Kraft seit 01.07.2022) |
+| **VDuG (Verbandsklagen-RL Umsetzungsgesetz)** | https://www.gesetze-im-internet.de/vdug/ | Abhilfeklage von Verbraucherverbaenden seit 13.10.2023 — kann tausende Verbraucherforderungen kollektiv buendeln |
+### Plattformrecht / Marktregulierung (EU-Verordnungen 2022-2024)
+| Verordnung | Volltext | Relevanz |
+|------------|---------|---------|
+| **Digital Services Act (DSA, EU 2022/2065)** | https://eur-lex.europa.eu/eli/reg/2022/2065/oj | Pflichten fuer Hosting-Dienste, Online-Plattformen, sehr grosse Plattformen (VLOPs). Volle Anwendung seit 17.02.2024. Pflicht: Notice-and-Action, transparente AGB, Dunkles-Muster-Verbot, Werbe-Transparenz. § 21 DDG i.V.m. DSA-DG (DE-Umsetzung). |
+| **Digital Markets Act (DMA, EU 2022/1925)** | https://eur-lex.europa.eu/eli/reg/2022/1925/oj | Gilt nur fuer "Gatekeeper" (>= 75 Mrd. EUR Marktkapitalisierung + 45 Mio. EU-Endnutzer). KMU nicht direkt betroffen — aber Marktverhalten der Gatekeeper aendert sich (Interoperabilitaet, Self-Preferencing-Verbot). |
+### Drohend / im Anflug (Beobachtungs-Liste)
+| Vorhaben | Status (Stand 2026-04-30) | Relevanz |
+|----------|---------------------------|---------|
+| **EU AI Act Art. 50** (Transparenz-Pflichten) | Anwendbar **ab 02.08.2026** (24 Mt nach Inkrafttreten); Bussgeld bis 15 Mio. EUR / 3% Jahresumsatz nach Art. 99. Quelle: [TUEV Rheinland](https://consulting.tuv.com/aktuelles/ki-im-fokus/transparenzpflichten-eu-ai-act-art-50) | Chatbots / KI-Bilder / Emotionserkennung muessen Nutzer ueber KI-Charakter informieren. |
+| **Cyber Resilience Act (EU 2024/2847)** | Schrittweise ab 11.12.2024; volle Anwendung 11.12.2027 | Sicherheitspflichten fuer "Produkte mit digitalen Elementen" (IoT, Software). |
+| **Data Act (EU 2023/2854)** | Anwendbar ab 12.09.2025 | B2B-Datenzugang, Wechsel-Pflichten fuer Cloud-Anbieter. |
+| **NIS2-Umsetzungsgesetz DE (NIS2UmsuCG)** | Bundestags-Verfahren laufend (Stand 2026-04-30 — Status pruefen) | Setzt EU NIS2-RL in DE-Recht um. Bis dahin gilt das alte BSIG. |
 ---
 ## Impressumspflicht (§ 5 DDG, vormals § 5 TMG)
@@ -193,7 +215,7 @@ NIS2 gilt für Unternehmen in **18 Sektoren** (erweitert gegenüber NIS1):
 ### Häufige Abmahngründe
 - Impressumsmangel (§ 5 DDG / TMG)
 - Datenschutzverstoß (DSGVO + UWG § 3a)
-- Cookie-Consent-Fehler (§ 25 TTDSG + UWG)
+- Cookie-Consent-Fehler (§ 25 TDDDG + UWG)
 - Urheberrechtsverletzung (Bilder, Software, Texte)
 - Wettbewerbswidrige Werbung (UWG)
 - Fehlende Pflichtangaben (Preisangaben, Widerrufsrecht, Gewährleistung)
@@ -231,7 +253,113 @@ NIS2 gilt für Unternehmen in **18 Sektoren** (erweitert gegenüber NIS1):
 ### Bußgelder AI Act
 - Verbotene Praktiken: bis 35 Mio. € oder 7% Jahresumsatz
 - Verstöße gegen Hochrisiko-Pflichten: bis 15 Mio. € oder 3%
-- Falsche Informationen: bis 7,5 Mio. € oder 1,5%
+- Falsche Informationen: bis 7,5 Mio. € oder 1% (Art. 99 Abs. 5 AI-Act)
+---
+### AI-Act Sub-Tier Detail-Audit
+**Tier 1 — Verbotene Praktiken (Art. 5)** — seit 02.02.2025 in Force:
+- Subliminale Manipulation (Art. 5(1)(a))
+- Ausnutzung Vulnerabilitaeten (Alter/Behinderung/Sozialstatus) (Art. 5(1)(b))
+- Social Scoring durch Behoerden (Art. 5(1)(c))
+- Predictive Policing nur auf Profiling (Art. 5(1)(d))
+- Untargeted Scraping Facial-Images (Art. 5(1)(e))
+- Emotion-Detection am Arbeitsplatz / in Schulen (Art. 5(1)(f))
+- Biometrische Kategorisierung nach sensiblen Attributen (Art. 5(1)(g))
+- Real-Time-Remote-Biometrie public-space (Art. 5(1)(h), Strafverfolgungs-Ausnahmen)
+**Tier 2 — Hochrisiko-KI (Annex III)** — vollst. reguliert ab 02.08.2026:
+- Biometrische Identifikation (post-event)
+- Kritische Infrastruktur-Sicherheit
+- Bildung + Berufsbildung (Pruefungsbewertung, Zulassung)
+- Beschaeftigung (Bewerber-Filter, Beurteilung, Beendigung)
+- Wesentliche Dienstleistungen (Kreditwuerdigkeit, Versicherungs-Tarifierung, Notruf-Triage)
+- Strafverfolgung (Profiling, Risiko-Bewertung Personen, Beweis-Evaluation)
+- Migration/Asyl (Risiko-Profiling, Pruefungs-Unterstuetzung)
+- Justiz/Demokratische Prozesse (Rechtsprechungs-Unterstuetzung, Wahlmanipulation)
+Pflichten: Konformitaetsbewertung, technische Dokumentation, Logging, menschliche Aufsicht, Transparenz, Robustheit, CE-Marking.
+**Tier 3 — GPAI (Art. 51-55)** — Pflichten seit 02.08.2025:
+- Technische Dokumentation, Trainings-Daten-Summary, Urheberrechts-Compliance
+- Bei „systemischem Risiko" (> 10^25 FLOPs Trainings-Compute): Model-Eval, Adversarial-Testing, Cybersecurity, Incident-Reporting an EU-AI-Office
+**Tier 4 — Transparenz (Art. 50)** — fuer alle direkt-mit-Mensch-interagierenden KI:
+- Chatbot-Kennzeichnung (User muss wissen dass er mit KI redet)
+- AI-Content-Labeling (synthetisches Bild/Audio/Video maschinenlesbar markiert)
+- Deepfake-Disclosure
+- Emotion-Detection-Disclosure
+### Audit-Trigger pro Sub-Tier
+Pruefe pro KI-Use-Case der App:
+- [ ] Tier 1 — ist eine der 8 verbotenen Praktiken einschlaegig? → IMMEDIATE-STOP
+- [ ] Tier 2 — fallen wir unter Annex III? → CE-Marking + Konformitaetsbewertung-Pflicht
+- [ ] Tier 3 — nutzen wir ein GPAI-Modell ohne Provider-Compliance-Statement? → AVV + Provider-Disclosure-Pflicht
+- [ ] Tier 4 — ist Chatbot/Deepfake/AI-Content offensichtlich gekennzeichnet?
+---
+## EU Data Act (VO 2023/2854) — IoT-Datenportabilitaet + Cloud-Switching
+- **Volltext**: https://eur-lex.europa.eu/eli/reg/2023/2854/oj
+- **Geltung**: ab 12.09.2025
+- **Scope**: vernetzte Produkte (IoT, Smart-Devices, Industrie-4.0) + Cloud-Provider
+### Pflichten fuer Hersteller / Datenhalter
+- **Art. 3-6**: Daten von vernetzten Produkten muessen fuer Nutzer zugaenglich + uebertragbar sein
+- **Art. 8-12**: B2B-Datenteilung auf „FRAND"-Basis (fair, reasonable, non-discriminatory)
+- **Art. 23-31**: Cloud-Switching — Provider muessen kuendigungs- und uebertragungsfreundlich sein
+  - Max. 30 Tage Kuendigungsfrist (Art. 25)
+  - Datenexport-Standards (Art. 30) — strukturierte Formate
+  - Gleichwertige Funktionalitaet beim Migration (Art. 27)
+### Pflicht-Audit-Punkte fuer SaaS / Cloud-Provider
+- [ ] Switching-Klauseln in AGB/AVV (Art. 23-31) — keine Lock-In-Strafen, max 30d Notice
+- [ ] Datenexport-Endpoint in API + UI (strukturiertes Format, Art. 30)
+- [ ] Anwendbares Recht (B2B FRAND-Pflichten Art. 9)
+- [ ] Vertraulichkeits-Klauseln vs. Datenteilungs-Pflicht (Art. 11)
+### Schadens-Anker Data Act
+- Bussgelder national geregelt — DE ab 2025 (BfDI/BNetzA zustaendig)
+- Vertragsstrafen-Risiko gegenueber Kunden bei verweigertem Switching
+---
+## Cyber Resilience Act — CRA (VO 2024/2847)
+- **Volltext**: https://eur-lex.europa.eu/eli/reg/2024/2847/oj
+- **Geltung**: 11.12.2027 (Hauptpflichten), Berichts-Pflichten (Art. 14) ab 11.09.2026
+- **Scope**: alle „Produkte mit digitalen Elementen" (PDE) — Hard- + Software auf EU-Markt
+### Pflichten
+- **Art. 13**: Sicherheits-Anforderungen (Annex I) — Default-Secure, Authentifizierung, Crypto, Vulnerability-Handling
+- **Art. 14**: **Aktive Ausnutzungs-Vulnerability-Notification** an ENISA innerhalb 24h
+- **Art. 14**: Severe-Incident-Notification innerhalb 24h
+- **Annex II**: Technical-Documentation (SBOM, Risk-Assessment, Konformitaets-Erklaerung)
+- **CE-Marking** pflicht
+- **Free + Open Source Software**: Sonderregel Art. 24 — kein CE-Marking, aber dokumentations-Pflichten wenn „Stewards" + monetaere Foerderung
+### Audit-Trigger
+- [ ] SBOM (Software Bill of Materials, CycloneDX / SPDX) generiert?
+- [ ] Vulnerability-Disclosure-Policy (security.txt RFC 9116)?
+- [ ] CVE-Tracking + 24h-Notification-Prozess (Art. 14)?
+- [ ] Update-Pflicht (Default: 5 Jahre Support, Art. 13(2)(b))?
+- [ ] OSS-Steward-Klassifikation pruefen (Art. 24)?
+### Schadens-Anker CRA
+- Bussgelder bis **15 Mio. EUR** oder **2,5%** weltweiter Jahresumsatz (Art. 64)
+- Marktentnahme + Rueckruf-Pflicht
+- CE-Marking-Entzug
+---
 ---

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/INDEX.md ADDED Viewed

@@ -0,0 +1,122 @@
+---
+status: skeleton
+purpose: Pro Tech-Stack ein Pattern-File mit Code-Snippet (sanitized) + AVV-/DPA-Quelle + DSE-Wording-Vorlage + bekannte Risiken.
+maintainer-note: Auto-Loading-Architektur in SKILL.md ruft diese Files via grep package.json. Befuell-Plan unten.
+---
+# `references/stack-patterns/` — Skeleton + Befuell-Plan
+> Status: **skeleton**. Ziel: pro Stack-Komponente (Framework, Auth-Provider,
+> Payment-Provider, Tracking-Provider, AI-Provider) ein Pattern-File mit:
+> - Code-Snippet (sanitized — keine Brand-Refs)
+> - AVV-/DPA-Quelle des Vendors
+> - DSE-Wording-Vorlage (Block-Vorschlag fuer Datenschutzerklaerung)
+> - Bekannte Risiken (Drittland, Cookies, Default-Cloud-Settings)
+> - Verify-Commands
+## Befuell-Reihenfolge
+### Frameworks (Foundation)
+- [ ] `nextjs/proxy-csp-pattern.md` — Strict-Dynamic-CSP via middleware (siehe templates/proxy-strict-dynamic.ts.example)
+- [ ] `nextjs/env-driven-tracking.md` — UmamiScript-Pattern (siehe templates/UmamiScript.tsx.example)
+- [ ] `nextjs/dynamic-rendering-headers.md` — `force-dynamic`, `revalidate`, no-cache
+- [ ] `nextjs/api-route-bearer-auth.md` — Cron-Routes (siehe templates/data-retention-cron.ts.example)
+- [ ] `react/cookie-banner-pattern.md` — Pre-consent-Tracker-Gate
+- [ ] `react/consent-gate-pattern.md` — useConsent-Hook
+- [ ] `vue/cookie-banner-pattern.md`
+- [ ] `astro/cookie-banner-pattern.md`
+- [ ] `svelte/cookie-banner-pattern.md`
+- [ ] `laravel/cookie-banner-pattern.md`
+- [ ] `rails/cookie-banner-pattern.md`
+- [ ] `django/cookie-banner-pattern.md`
+- [ ] `flask/cookie-banner-pattern.md`
+- [ ] `fastapi/cookie-banner-pattern.md`
+- [ ] `express/cookie-banner-pattern.md`
+- [ ] `nest/cookie-banner-pattern.md`
+- [ ] `strapi/cms-pii-pattern.md`
+### Auth-Provider
+- [ ] `auth/supabase-auth-tom.md` — bcrypt, RLS, MFA-Optional, Audit-Log
+- [ ] `auth/nextauth-tom.md` — JWT vs Session, CSRF-Token-Rotate
+- [ ] `auth/auth0-tom.md` — Drittland (US) + DPA-Link
+- [ ] `auth/clerk-tom.md` — Drittland (US) + DPA-Link + EU-Region-Setting
+- [ ] `auth/custom-jwt-tom.md` — KMS, Key-Rotation, RS256-Pflicht
+### Payment-Provider
+- [ ] `payment/stripe-pci-tom.md` — PCI-DSS via Stripe-hosted, Webhook-Sig-Verify
+- [ ] `payment/lemonsqueezy-tom.md` — EU-VAT-Handling
+- [ ] `payment/paddle-tom.md` — Merchant-of-Record-Modell
+- [ ] `payment/mollie-tom.md` — EU-Anbieter, SEPA
+- [ ] `payment/paypal-tom.md` — Drittland (US) + DPA
+### Tracking-Provider
+- [ ] `tracking/plausible-pattern.md` — cookieless, EU-gehostet
+- [ ] `tracking/umami-pattern.md` — selbst-gehostet, cookieless
+- [ ] `tracking/google-analytics-consent.md` — GA4, IP-Anonym, Consent-Mode v2, Drittland
+- [ ] `tracking/mixpanel-consent.md` — Drittland (US), opt-in only
+- [ ] `tracking/posthog-consent.md` — EU-Region verfuegbar
+- [ ] `tracking/fathom-pattern.md` — cookieless, EU-Mode
+### AI-Provider
+- [ ] `ai/openai-dpa.md` — DPA-Link, EU-Data-Boundary-Settings, Trainings-Opt-Out
+- [ ] `ai/anthropic-dpa.md` — DPA-Link, Drittland-Mechanismus
+- [ ] `ai/mistral-eu.md` — EU-Anbieter (FR), AI-Act-Hochrisiko-Mapping
+- [ ] `ai/replicate-dpa.md` — Drittland (US)
+- [ ] `ai/self-hosted-llm.md` — On-Prem (Ollama, vLLM, LocalAI) — KEIN Drittland-Trigger
+## Format pro File (Vorlage)
+```markdown
+---
+license: MIT (snippet) / vendor-doc-Quellen separat lizenziert
+provider: <Vendor-Name>
+provider-AVV-status: <Standardvertrag verfuegbar / on-request / nicht verfuegbar>
+last-checked: <YYYY-MM-DD>
+---
+# <Stack-Komponente> — Pattern fuer brutaler-anwalt-Audit
+## 1. Default-Verhalten (was passiert ohne Konfiguration)
+<z.B.: Default-Region = US, Default-Cookies = on, Default-IP-Anonymisierung = off>
+## 2. Compliance-Risiken
+| Risiko | Auswirkung | Fix |
+|--------|-----------|-----|
+| Drittland | Schrems-II | Region setzen + SCC + TIA |
+| Cookies | § 25 TDDDG | Consent-Mode oder cookieless |
+| Default-Logs | Art. 5 DSGVO | Anonymisierung, Loeschfristen |
+## 3. Code-Pattern (sanitized)
+```ts
+// Brand-agnostisch, mit <placeholder> fuer Operator-Werte
+```
+## 4. AVV / DPA
+- DPA-Link: <URL beim Vendor>
+- AVV-Stand: <Datum>
+- Sub-Auftragsverarbeiter: <Liste oder Verweis>
+## 5. DSE-Wording-Vorlage
+> Block fuer eigene Datenschutzerklaerung mit Pflicht-Inhalt.
+## 6. Verify-Commands
+```bash
+# Live-Probe gegen die Domain mit dem Stack-Element
+```
+## 7. Az.-Anker (wenn vorhanden)
+- BGH/OLG/EuGH-Urteil mit Az. + Source-URL
+```
+## NICHT-Inhalt dieser Files
+- KEINE Vendor-Disclosure (nur faktische Compliance-Sicht)
+- KEIN Marketing oder Kaufempfehlung
+- KEINE alternativen Provider-Vergleiche (das macht der Skill-Output, nicht die Reference)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/ai/anthropic-dpa.md ADDED Viewed

@@ -0,0 +1,87 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: Anthropic, PBC (USA — Delaware-PBC)
+provider-AVV-status: Standardvertrag verfuegbar (DPA + EU-SCC)
+last-checked: 2026-05-02
+purpose: Anthropic Claude API DPA + Compliance.
+---
+# Anthropic Claude — TOMs + DPA + DSE-Wording
+## 1. Default-Verhalten
+- Datenstandort: US (default)
+- EU-Region: Beta verfuegbar (Stand 2026-05, Konto-Setting in Anthropic-Console)
+- Trainings-Opt-Out fuer API-Daten Pflicht-Setting (Default = Opt-Out, kein Training auf API-Daten)
+- Sub-Processor: AWS, GCP
+## 2. Compliance-Risiken
+| Risiko | Wirkung | Fix |
+|---|---|---|
+| Default-Region US | Schrems II / DPF-Risiko | EU-Region waehlen wenn verfuegbar |
+| Trainings-Opt-Out nicht aktiviert | Daten in Modell-Training | Opt-Out im Account-Setting (Default OK aber pruefen) |
+| Prompt-Speicherung | Compliance-relevant | Zero-Retention-Vereinbarung anfragen |
+| AVV ohne EU-SCC | Drittland-Pflichtverletzung | DPA mit SCC abschliessen |
+## 3. Code-Pattern (Next.js + Anthropic SDK)
+```ts
+// File: src/lib/anthropic.ts
+import Anthropic from '@anthropic-ai/sdk';
+export const anthropic = new Anthropic({
+  apiKey: process.env.ANTHROPIC_API_KEY,
+  // Optional: EU-Region (wenn verfuegbar)
+  // baseURL: 'https://api.eu.anthropic.com',
+});
+export async function chat(messages: Anthropic.MessageParam[]) {
+  // PII-Pre-Filter (Datenminimierung)
+  const sanitized = messages.map(m => ({
+    ...m,
+    content: redactPII(typeof m.content === 'string' ? m.content : ''),
+  }));
+  const response = await anthropic.messages.create({
+    model: 'claude-opus-4-7',
+    max_tokens: 1024,
+    messages: sanitized,
+  });
+  return response;
+}
+function redactPII(text: string): string {
+  return text
+    .replace(/\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,}\b/g, '[REDACTED_EMAIL]')
+    .replace(/\b(?:\+49|0)[0-9 \-/]+\d/g, '[REDACTED_PHONE]')
+    .replace(/\bDE\d{20}\b/gi, '[REDACTED_IBAN]');
+}
+```
+## 4. AVV / DPA
+- **DPA-Link**: https://www.anthropic.com/legal/dpa
+- **Trust Center**: https://trust.anthropic.com/
+- **EU-SCC**: Modul 2 + 3
+- **Sub-Processors**: https://trust.anthropic.com/sub-processors
+## 5. DSE-Wording-Vorlage
+> Wir nutzen Claude (Anthropic, PBC, 548 Market St PMB 90375, San Francisco, USA)
+> als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Anthropic ist DPF-zertifiziert.
+> EU-SCC Modul 2+3 abgeschlossen. Trainings-Opt-Out ist aktiviert. Datenschutzhinweise:
+> https://www.anthropic.com/legal/privacy.
+## 6. AI-Act-Compliance
+- Claude ist GPAI-Modell — Anbieter-Pflichten Art. 53 ist Anthropic-Pflicht
+- Operator-seitig: Pflicht zum Art. 50-Hinweis im Chat-UI
+- Bei Hochrisiko-Use-Case: vollstaendige Annex-III-Pflichten + FRIA
+## 7. Cross-Reference
+- AI-Act GPAI: `gesetze/EU-Verordnungen/AI-Act-2024-1689/gpai-pflichten.md`
+- AI-Act Art. 50: `gesetze/EU-Verordnungen/AI-Act-2024-1689/transparenz-art-50.md`
+- Audit-Pattern Phase 5e (AI-Chatbot): `audit-patterns.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/ai/mistral-eu.md ADDED Viewed

@@ -0,0 +1,123 @@
+---
+license: MIT (snippet)
+provider: Mistral AI SAS (Frankreich) — EU-Anbieter
+provider-AVV-status: Enterprise-DPA verfügbar; La Plateforme DPA standardmäßig
+last-checked: 2026-05-01
+---
+# Mistral AI — EU-AI-Provider Compliance + DSE-Wording
+## 1. Default-Verhalten
+- **Hosting**: EU (Frankreich, AWS eu-west-1 / GCP europe-west1)
+- **Daten-Routing**: bei `mistral-large-latest` und `mistral-medium` standardmäßig EU
+- **Keine Trainingsnutzung** auf API-Daten (Default seit 2024-Q4)
+- **Logging**: Server-seitig nur 30 Tage, danach gelöscht (laut DPA)
+- **Token-Rate-Limit**: pro API-Key, kein Userdaten-Tracking ohne explizite Konfiguration
+## 2. Compliance-Vorteile gegenüber US-Anbietern
+| Aspekt | Mistral (FR/EU) | OpenAI (US) | Anthropic (US) |
+|--------|-----------------|-------------|----------------|
+| Hosting-Region | EU-Default | US-Default | US-Default |
+| DPF-Zertifizierung | nicht relevant (EU) | ja | ja |
+| Drittland-Hinweis nötig | NEIN | JA | JA |
+| SCC nötig | NEIN | JA (Modul 2) | JA (Modul 2) |
+| Trainingsnutzung Default | nein | nein (Enterprise) / ja (Free) | nein |
+## 3. Compliance-Risiken (Mistral-spezifisch)
+| Risiko | Wirkung | Fix |
+|--------|---------|-----|
+| User-Prompts mit PII an API senden | DSGVO Art. 6 (auch innerhalb EU braucht Rechtsgrundlage) | DSFA + Einwilligung wenn Sondersensibles |
+| Modell-Antworten mit erfundenem Inhalt | UWG § 5 wenn beworben als „korrekt" | Disclaimer „kein Ersatz für fachliche Beratung" |
+| AI-Act Art. 50 ab 02.08.2026 | Pflicht-Hinweis im Chat-UI | KI-Kennzeichnung sichtbar |
+## 4. Code-Pattern (sanitized)
+```ts
+// File: src/lib/ai/mistral-client.ts
+import { Mistral } from '@mistralai/mistralai';
+const client = new Mistral({
+  apiKey: process.env.MISTRAL_API_KEY!,
+  // serverEndpoint: optional, default = api.mistral.ai (EU)
+});
+export async function chatWithDisclaimer(userMessage: string) {
+  const response = await client.chat.complete({
+    model: 'mistral-medium-latest', // EU-hosted by default
+    messages: [
+      {
+        role: 'system',
+        content:
+          'Du bist ein hilfreicher Assistent. ' +
+          'Bei medizinischen / juristischen / finanziellen Fragen: ' +
+          'verweise auf Fachkraft. Erfinde keine Fakten — sage „weiß ich nicht" wenn unsicher.',
+      },
+      { role: 'user', content: userMessage },
+    ],
+    temperature: 0.7,
+    maxTokens: 1000,
+  });
+  return response.choices?.[0]?.message?.content;
+}
+```
+```tsx
+// File: src/components/chat/ChatUI.tsx
+// Pflicht-Hinweis nach AI-Act Art. 50 (ab 02.08.2026)
+'use client';
+export function AIChatHeader() {
+  return (
+    <div className="ai-disclaimer" role="note">
+      <span aria-hidden="true">🤖</span>
+      <p>
+        <strong>KI-Assistent.</strong> Antworten werden von einer KI erzeugt
+        (Mistral AI, EU-gehostet). Sie ersetzen keine fachliche Beratung
+        (Tierarzt / Arzt / Anwalt / Steuerberater).
+      </p>
+    </div>
+  );
+}
+```
+## 5. AVV / DPA
+- **DPA-Link**: https://mistral.ai/terms#data-processing-addendum
+- **Standard La Plateforme Terms**: https://mistral.ai/terms/#terms-of-service-la-plateforme
+- **Enterprise DPA**: auf Anfrage
+- **AI-Act-Compliance-Doku**: Mistral publiziert technical-doc nach Art. 53 AI-Act (GPAI-Pflicht)
+## 6. DSE-Wording-Vorlage
+> **KI-gestützte Funktionen (Mistral AI).** Für KI-basierte Funktionen
+> (z.B. Chat-Assistent, Empfehlungen) nutzen wir die API von Mistral AI
+> SAS (15 rue des Halles, 75001 Paris, Frankreich) als Auftragsverarbeiter
+> im Sinne von Art. 28 DSGVO. Daten werden in der EU verarbeitet (kein
+> Drittland-Transfer). Eingaben (Prompts) und KI-Antworten werden bei
+> Mistral maximal 30 Tage zur Missbrauchs-Erkennung gespeichert und nicht
+> für Training genutzt (siehe Mistral Privacy Policy). Rechtsgrundlage:
+> Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. f
+> (berechtigtes Interesse). Bei sensiblen Datenkategorien holen wir
+> separate Einwilligung ein (Art. 6 Abs. 1 lit. a + Art. 9 lit. a DSGVO).
+> Datenschutz Mistral: https://mistral.ai/terms/#privacy-policy.
+## 7. Verify-Commands
+```bash
+# API-Endpoint-Region prüfen (sollte EU sein)
+curl -s -X POST https://api.mistral.ai/v1/chat/completions \
+  -H "Authorization: Bearer $MISTRAL_API_KEY" \
+  -H "Content-Type: application/json" \
+  -d '{"model":"mistral-small-latest","messages":[{"role":"user","content":"hi"}]}' \
+  -I | grep -iE 'cf-ray|x-amz|server'
+# erwarte: EU-region-headers (eu-west / fra / paris)
+```
+## 8. Az.-Anker
+- AI-Act VO 2024/1689 Art. 53 (GPAI-Pflichten Mistral)
+- AI-Act Art. 50 (Transparenz für End-User, ab 02.08.2026)