@aegis-scan/skills 0.4.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/ai/openai-dpa.md

@@ -0,0 +1,120 @@
+---
+license: MIT (snippet)
+provider: OpenAI Ireland Ltd (Dublin) + OpenAI L.L.C. (USA)
+provider-AVV-status: DPA verfügbar (Standard + Zero Data Retention auf Anfrage)
+last-checked: 2026-05-01
+---
+
+# OpenAI — Compliance + DSE-Wording (Drittland US!)
+
+## 1. Default-Verhalten
+
+- **Routing**: Standard via OpenAI Ireland (für EU-Kunden), aber Sub-Processors in den USA
+- **EU-Data-Boundary** seit 2024-Q1 als Option (Beta) — muss explizit aktiviert werden
+- **Trainings-Nutzung**: bei API-Daten OPT-OUT (Default kein Training seit 03/2023)
+- **Logging**: 30 Tage Default, „Zero Data Retention" für Enterprise auf Anfrage
+- **Drittland-Status**: USA — DPF-zertifiziert seit 11.10.2023
+
+## 2. Compliance-Risiken
+
+| Risiko | Wirkung | Fix |
+|--------|---------|-----|
+| Default-Routing über USA | Drittland-Transfer | EU Data Boundary aktivieren ODER DSE-Erwähnung |
+| Sub-Processor in USA (Azure / GCP) | weiterer Transfer | DPA-Sub-Processor-Liste annehmen |
+| User-Prompts mit Sondersensibles | Art. 9 DSGVO + DPF | Pseudonymisierung vor Senden ODER Einwilligung |
+| Hallucinations bei Health/Legal/Finance-Antworten | UWG § 5 wenn als „verlässlich" beworben | Disclaimer Pflicht |
+
+## 3. Code-Pattern (sanitized)
+
+```ts
+// File: src/lib/ai/openai-client.ts
+import OpenAI from 'openai';
+
+const openai = new OpenAI({
+  apiKey: process.env.OPENAI_API_KEY!,
+  // EU-Data-Boundary aktivieren via Header (wenn Account-Setting aktiv):
+  baseURL: process.env.OPENAI_BASE_URL || 'https://api.openai.com/v1',
+});
+
+export async function chatWithSafeguards(userMessage: string) {
+  const response = await openai.chat.completions.create({
+    model: 'gpt-4o-mini', // oder gpt-4-turbo / gpt-5
+    messages: [
+      {
+        role: 'system',
+        content:
+          'Antworte auf Deutsch. Bei medizinischen/juristischen/finanziellen Fragen ' +
+          'verweise auf Fachkraft. Erfinde keine Fakten — bei Unsicherheit sage es.',
+      },
+      { role: 'user', content: userMessage },
+    ],
+    temperature: 0.7,
+    max_tokens: 1000,
+  });
+
+  return response.choices[0]?.message?.content ?? '';
+}
+```
+
+```tsx
+// File: src/components/chat/AIDisclaimerHeader.tsx
+'use client';
+
+export function OpenAIDisclaimer() {
+  return (
+    <div className="ai-disclaimer" role="note">
+      <p>
+        🤖 <strong>KI-Assistent.</strong> Antworten werden mit OpenAI (USA)
+        erzeugt. Sie können fehlerhaft sein und ersetzen keine
+        fachliche Beratung. Mit Nutzung stimmst du der DSGVO-konformen
+        Verarbeitung deiner Eingaben in den USA zu (siehe Datenschutz).
+      </p>
+    </div>
+  );
+}
+```
+
+## 4. AVV / DPA
+
+- **DPA-Link**: https://openai.com/policies/data-processing-addendum
+- **Trust-Portal**: https://trust.openai.com
+- **Sub-Processors**: https://openai.com/policies/sub-processor-list
+- **DPF-Zertifikat**: https://www.dataprivacyframework.gov/list (suche „OpenAI")
+- **Zero Data Retention**: auf Anfrage für Enterprise via support@openai.com
+
+## 5. DSE-Wording-Vorlage
+
+> **KI-gestützte Funktionen (OpenAI, USA).** Für KI-basierte Funktionen
+> nutzen wir die API von OpenAI Ireland Ltd (1st Floor, The Liffey Trust
+> Centre, 117–126 Sheriff Street Upper, Dublin 1, Irland) und OpenAI
+> L.L.C. (3180 18th Street, San Francisco, CA 94110, USA) als
+> Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Eingaben werden zur
+> Beantwortung der Anfrage an OpenAI in den USA übermittelt
+> (Drittlandtransfer Art. 44 ff. DSGVO). Rechtsgrundlage für den
+> Drittlandtransfer ist Art. 45 i.V.m. dem EU-US Data Privacy Framework
+> (OpenAI Inc. ist DPF-zertifiziert) sowie ergänzend EU-Standardvertrags-
+> klauseln (Modul 2). Eingaben werden bei OpenAI maximal 30 Tage zur
+> Missbrauchs-Erkennung gespeichert und nicht für Training verwendet
+> (API-Daten-Opt-Out by default). Rechtsgrundlage: Art. 6 Abs. 1 lit. b
+> DSGVO. Datenschutz OpenAI: https://openai.com/policies/privacy-policy.
+>
+> Hinweis: Für Anfragen mit besonders sensiblen Inhalten (Gesundheit,
+> juristische / finanzielle Themen) holen wir gesonderte Einwilligung ein
+> (Art. 6 Abs. 1 lit. a + Art. 9 lit. a DSGVO).
+
+## 6. Verify-Commands
+
+```bash
+# Account-Setting EU-Data-Boundary prüfen (UI in OpenAI Dashboard)
+# Verify Sub-Processor-Liste aktuell
+curl -s https://openai.com/policies/sub-processor-list | grep -oE '<title>.*</title>'
+
+# DPF-Zertifikat-Status
+curl -s "https://www.dataprivacyframework.gov/api/PartList" | jq '.[] | select(.OrganizationName | contains("OpenAI"))'
+```
+
+## 7. Az.-Anker
+
+- AI-Act VO 2024/1689 Art. 53–55 (GPAI-Pflichten OpenAI)
+- AI-Act Art. 50 Transparenz (ab 02.08.2026)
+- noyb-Klagen gegen ChatGPT (Stand: anhängig 2026, läuft seit 04/2024)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/astro/cookie-banner-pattern.md

@@ -0,0 +1,202 @@
+---
+license: MIT (snippet)
+provider: Astro (Open-Source)
+last-checked: 2026-05-05
+purpose: Astro Cookie-Banner Pattern mit View-Transitions + Island-Hydration + client-seitiger Consent-Init.
+---
+
+# Astro — Cookie-Banner (Pattern)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `astro.config.mjs` / `astro.config.ts` mit `integrations: [...]`
+- `src/layouts/*.astro` Layout-Komponenten
+- `client:load` / `client:idle` / `client:visible` Direktiven in `.astro` Files
+- `<ClientRouter />` (View-Transitions) in Layout
+- Optional: `@astrojs/react` / `@astrojs/vue` / `@astrojs/svelte` integration
+
+Astro ist Static-First, das heisst Cookie-Banner muss als Island laufen (`client:load`) — sonst wird er statisch gepre-rendered und JavaScript-Logik feuert nicht.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- Astro pre-rendered `.astro` Files zu HTML — Banner-State (zeigen/nicht zeigen) ist NICHT pro Visitor differenziert
+- Ohne `client:*`-Direktive feuert kein JS, also liest Banner kein localStorage
+- Mit View-Transitions-Router muss Banner `transition:persist` haben sonst remount bei jeder Navigation
+- Tracker-Scripts (Plausible, Umami, Google Analytics) werden via `<script>` in Layout typischerweise SOFORT geladen — vor jeder Consent-Pruefung
+
+Resultat ohne Anpassung: Tracker laeuft trotz fehlendem Consent. § 25 TDDDG-Verstoss.
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Tracker laedt vor Consent (Astro `<script>` im Head) | § 25 TDDDG | KRITISCH | Tracker als Island mit `client:idle` + Consent-Gate |
+| Banner remountet pro View-Transition | DSGVO Art. 7 (Nachweisbarkeit) | MITTEL | `transition:persist` setzen |
+| Static-Build cached Banner-State | DSGVO Art. 25 | HOCH | Banner ausschliesslich via `client:load` initialisieren |
+| Drittland-Transfer durch CDN-Tracker | Art. 44-46 DSGVO | KRITISCH | EU-Region-Provider + AVV + TIA |
+| Pre-Tick im Settings-Modal | EuGH C-673/17 Planet49 | KRITISCH | Default = false fuer alle Nicht-Notwendigen |
+
+## Code-Pattern (sanitized)
+
+```astro
+---
+// File: src/layouts/BaseLayout.astro
+import CookieBanner from '../components/CookieBanner.tsx';
+import { ClientRouter } from 'astro:transitions';
+---
+<!doctype html>
+<html lang="de">
+  <head>
+    <meta charset="UTF-8" />
+    <title><slot name="title">{Astro.props.title ?? '<placeholder-site-name>'}</slot></title>
+    <ClientRouter />
+    {/* KEIN Tracker-Script hier — erst nach Consent via Island */}
+  </head>
+  <body>
+    <slot />
+    {/* transition:persist verhindert Remount bei View-Transitions */}
+    <CookieBanner client:load transition:persist="cookie-banner" />
+  </body>
+</html>
+```
+
+```tsx
+// File: src/components/CookieBanner.tsx (React-Island)
+import { useEffect, useState } from 'react';
+
+type Consent = {
+  necessary: true;
+  analytics: boolean;
+  marketing: boolean;
+  timestamp?: string;
+  version: '1.0';
+};
+
+const STORAGE_KEY = 'cookie-consent';
+
+export default function CookieBanner() {
+  const [open, setOpen] = useState(false);
+  const [consent, setConsent] = useState<Consent>({
+    necessary: true,
+    analytics: false,  // Default false — Opt-In Pflicht
+    marketing: false,
+    version: '1.0',
+  });
+
+  useEffect(() => {
+    const stored = localStorage.getItem(STORAGE_KEY);
+    if (!stored) setOpen(true);
+    else {
+      const parsed = JSON.parse(stored) as Consent;
+      if (parsed.analytics) loadAnalytics();
+      if (parsed.marketing) loadMarketing();
+    }
+  }, []);
+
+  const persist = (c: Consent) => {
+    const final = { ...c, timestamp: new Date().toISOString() };
+    localStorage.setItem(STORAGE_KEY, JSON.stringify(final));
+    fetch('/api/consent-log', {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify(final),
+    });
+    if (final.analytics) loadAnalytics();
+    if (final.marketing) loadMarketing();
+    setOpen(false);
+  };
+
+  if (!open) return null;
+
+  return (
+    <aside role="dialog" aria-label="Cookie-Einwilligung" className="cookie-banner">
+      <p>
+        Wir verwenden Cookies fuer notwendige Funktionen. Mit Ihrer Einwilligung
+        zusaetzlich fuer Analyse und Marketing. Details:{' '}
+        <a href="/datenschutz">Datenschutzerklaerung</a>.
+      </p>
+      <div className="cookie-actions">
+        {/* Buttons gleichwertig (OLG Koeln 6 U 80/23) */}
+        <button onClick={() => persist({ ...consent, analytics: false, marketing: false })}>
+          Nur Notwendige
+        </button>
+        <button onClick={() => persist({ ...consent, analytics: true, marketing: true })}>
+          Alle akzeptieren
+        </button>
+      </div>
+    </aside>
+  );
+}
+
+function loadAnalytics() {
+  const s = document.createElement('script');
+  s.src = 'https://<placeholder-eu-analytics-host>/script.js';
+  s.defer = true;
+  document.head.appendChild(s);
+}
+
+function loadMarketing() {
+  // Lade Marketing-Pixel erst nach Consent
+}
+```
+
+## AVV / DPA
+
+Pflicht-AVV-Partner bei Default-Astro-Stack:
+- Hosting-Provider (Netlify / Vercel / Self-host) — Art. 28 DSGVO
+- CDN (Cloudflare / Bunny.net) — bei Drittland: SCC + TIA
+- Analytics-Provider (Plausible EU / Umami self-hosted) — AVV bei Plausible.io B.V.
+- Optional: Image-CDN (Cloudinary / imgix) bei `<Image>` Component
+
+Pflicht-Dokumentation: `/datenschutz` Section "Auftragsverarbeiter" mit Tabelle (Anbieter, Sitz, Zweck, Rechtsgrundlage).
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Cookies und vergleichbare Technologien
+
+Diese Website nutzt Cookies und browserseitigen Speicher (`localStorage`) fuer
+folgende Zwecke:
+
+**Notwendige Cookies (Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG)**
+- `cookie-consent` — speichert Ihre Einwilligungs-Entscheidung
+  (Speicherdauer: 12 Monate, kein Tracking)
+- Session-Cookie fuer Login (falls vorhanden)
+
+**Analyse-Cookies (Rechtsgrundlage: § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1
+lit. a DSGVO — Einwilligung)**
+- `<placeholder-analytics-cookie>` — Webseiten-Statistiken
+- Anbieter: <placeholder-analytics-provider>, EU-Hosting
+- Speicherdauer: <placeholder-days> Tage
+
+**Widerruf:** Sie koennen Ihre Einwilligung jederzeit widerrufen ueber
+[Cookie-Einstellungen](#cookie-settings) im Footer.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. Pre-Consent: kein Tracker-Script geladen
+curl -sS https://<placeholder-domain>/ | grep -ic "<placeholder-analytics-host>" 
+# Erwartung: 0
+
+# 2. Banner sichtbar fuer neue Visitors
+curl -sS https://<placeholder-domain>/ | grep -ic "cookie-banner\|cookie-einwilligung"
+# Erwartung: >=1
+
+# 3. Playwright: Tracker erst nach Accept
+npx playwright codegen https://<placeholder-domain>/
+# Manuelle Pruefung: Network-Tab vor + nach Accept
+
+# 4. View-Transition-persist
+# Navigiere ueber 3 Pages mit aktivem Banner — Banner darf nicht doppelt rendern
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `cookie-audit.ts`, `tracking-scan.ts`, `consent-flow-checker.ts`
+- Skill-Reference: `references/dsgvo.md` § 25 TDDDG, Art. 7 DSGVO
+- BGH-Rechtsprechung: `references/bgh-urteile.md` BGH I ZR 7/16 (Planet49-Folgeentscheidung)
+- EuGH: `references/eu-eugh-dsgvo-schadensersatz.md` C-673/17 Planet49
+- Audit-Pattern: `references/audit-patterns.md` Phase 2 (Cookie-Audit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/astro/dse-section-pattern.md

@@ -0,0 +1,198 @@
+---
+license: MIT (snippet)
+provider: Astro (Open-Source)
+last-checked: 2026-05-05
+purpose: Astro Static-MD/MDX Datenschutzerklaerung-Rendering-Pattern mit Content-Collections.
+---
+
+# Astro — DSE-Section Pattern (MD/MDX)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `src/content/legal/*.md` oder `*.mdx` Files
+- `astro:content` Collections-API in `src/content/config.ts`
+- Routes wie `/datenschutz`, `/impressum`, `/agb` als statische Pages
+- Optional: `@astrojs/mdx` integration in `astro.config.mjs`
+
+Pattern: DSE wird als Markdown geschrieben (versionierbar, diff-bar, durch Lawyer reviewbar) und via Astro Content-Collections gerendert. Static-Build = max. Performance, kein Server-Roundtrip.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- DSE-Inhalte oft inline in `.astro` Page-File → Versions-Diff schwer
+- Keine `last-updated` Metadaten → Drift zur Realitaet nicht erkennbar
+- Keine Anker-Links zu Sub-Sektionen → Footer-Links auf "#cookies" funktionieren nicht
+- DSE wird statisch gepre-rendered ohne `lang`-Attribut → Screen-Reader Probleme
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| DSE outdated (kein Datum sichtbar) | Art. 13 DSGVO Transparenz | HOCH | Frontmatter `last-updated` rendern |
+| Auftragsverarbeiter-Liste fehlt | Art. 28 DSGVO | HOCH | DSE-Section "Auftragsverarbeiter" Pflicht |
+| Ankerlinks defekt | Art. 12 DSGVO Klarheit | MITTEL | Auto-generierte Heading-IDs |
+| Sprache nicht ausgewiesen | BITV 2.0 Barrierefreiheit | MITTEL | `<html lang="de">` Pflicht |
+| Versions-Historie fehlt | Art. 5 Abs. 2 Rechenschaft | MITTEL | Git-blame als Audit-Trail + DSE-Changelog |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/content/config.ts
+import { defineCollection, z } from 'astro:content';
+
+const legal = defineCollection({
+  type: 'content',
+  schema: z.object({
+    title: z.string(),
+    section: z.enum(['datenschutz', 'impressum', 'agb', 'widerrufsbelehrung']),
+    lastUpdated: z.coerce.date(),
+    version: z.string(),
+    author: z.string(),  // z.B. "<placeholder-legal-counsel>"
+  }),
+});
+
+export const collections = { legal };
+```
+
+```markdown
+<!-- File: src/content/legal/datenschutz.md -->
+---
+title: Datenschutzerklaerung
+section: datenschutz
+lastUpdated: 2026-05-05
+version: "2.3"
+author: "<placeholder-legal-counsel>"
+---
+
+## 1. Verantwortliche Stelle
+
+<placeholder-company-name>
+<placeholder-street>
+<placeholder-postal-code> <placeholder-city>
+E-Mail: <placeholder-email>
+
+## 2. Erhobene Daten und Zwecke
+
+| Datum | Zweck | Rechtsgrundlage | Speicherdauer |
+|---|---|---|---|
+| Server-Logs (anonymisiert) | Sicherheit, Stabilitaet | Art. 6 Abs. 1 lit. f | 14 Tage |
+| Cookie-Consent | Nachweis Einwilligung | Art. 7 DSGVO | 12 Monate |
+| Analytics (mit Consent) | Webseiten-Optimierung | Art. 6 Abs. 1 lit. a | <placeholder-days> Tage |
+
+## 3. Auftragsverarbeiter
+
+| Anbieter | Sitz | Zweck | AVV |
+|---|---|---|---|
+| <placeholder-hosting-provider> | <placeholder-eu-country> | Hosting | Ja |
+| <placeholder-analytics-provider> | <placeholder-eu-country> | Webanalyse | Ja |
+
+## 4. Ihre Rechte
+
+Sie haben das Recht auf:
+- Auskunft (Art. 15 DSGVO)
+- Berichtigung (Art. 16 DSGVO)
+- Loeschung (Art. 17 DSGVO)
+- Einschraenkung (Art. 18 DSGVO)
+- Datenuebertragbarkeit (Art. 20 DSGVO)
+- Widerspruch (Art. 21 DSGVO)
+- Beschwerde bei Aufsichtsbehoerde (Art. 77 DSGVO)
+
+Kontakt: <placeholder-email>
+```
+
+```astro
+---
+// File: src/pages/datenschutz.astro
+import { getEntry } from 'astro:content';
+import BaseLayout from '../layouts/BaseLayout.astro';
+
+const entry = await getEntry('legal', 'datenschutz');
+if (!entry) throw new Error('Datenschutz-Eintrag fehlt');
+
+const { Content, headings } = await entry.render();
+---
+<BaseLayout title={entry.data.title}>
+  <article class="legal">
+    <header>
+      <h1>{entry.data.title}</h1>
+      <p class="meta">
+        Version {entry.data.version} —
+        Stand: <time datetime={entry.data.lastUpdated.toISOString()}>
+          {entry.data.lastUpdated.toLocaleDateString('de-DE')}
+        </time>
+      </p>
+    </header>
+
+    <nav aria-label="Inhaltsverzeichnis">
+      <ol>
+        {headings.filter(h => h.depth === 2).map(h => (
+          <li><a href={`#${h.slug}`}>{h.text}</a></li>
+        ))}
+      </ol>
+    </nav>
+
+    <Content />
+
+    <footer class="legal-footer">
+      <p>
+        Bei Fragen zur Verarbeitung wenden Sie sich an:
+        <a href="mailto:<placeholder-email>"><placeholder-email></a>
+      </p>
+    </footer>
+  </article>
+</BaseLayout>
+```
+
+## AVV / DPA
+
+DSE selbst loest keine AVV aus (statischer Content). ABER:
+- Hosting-Provider liefert die DSE aus → AVV mit Hoster Pflicht
+- CDN cached die DSE → AVV mit CDN-Provider Pflicht
+- DSE-Inhalt MUSS jeden externen Service aus dem Repo (Tracker, Forms, Embed) als Auftragsverarbeiter listen
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Aenderungen dieser Datenschutzerklaerung
+
+Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, falls aenderungen
+am Webseitenbetrieb oder gesetzliche Vorgaben dies erfordern.
+
+Die jeweils aktuelle Version ist unter dieser URL abrufbar.
+
+**Aktuelle Version:** 2.3
+**Stand:** 5. Mai 2026
+**Aeltere Versionen:** Verfuegbar via Repository-History (Git-Tags
+`legal-vX.Y` unter <placeholder-repo-url>).
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. DSE erreichbar
+curl -sI https://<placeholder-domain>/datenschutz | head -1
+# Erwartung: HTTP/2 200
+
+# 2. last-updated im HTML sichtbar
+curl -sS https://<placeholder-domain>/datenschutz | grep -ic "stand:\|version"
+# Erwartung: >=1
+
+# 3. Auftragsverarbeiter-Section vorhanden
+curl -sS https://<placeholder-domain>/datenschutz | grep -ic "auftragsverarbeit"
+# Erwartung: >=1
+
+# 4. Sprach-Attribut korrekt
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'lang="[a-z]+"' | head -1
+# Erwartung: lang="de"
+
+# 5. Anker-Links funktionieren
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'id="[^"]+"' | head -10
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `dse-completeness-checker.ts`, `legal-pages-checker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 13, 14 (Informationspflichten)
+- BGH-Rechtsprechung: `references/bgh-urteile.md` (Transparenz-Anforderungen)
+- DSK-Beschluesse: `references/de-dsk-beschluesse.md` (Auftragsverarbeitung)
+- Audit-Pattern: `references/audit-patterns.md` Phase 1 (DSE-Vollstaendigkeit)