@aegis-scan/skills 0.4.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/svelte/dse-section-pattern.md

@@ -0,0 +1,231 @@
+---
+license: MIT (snippet)
+provider: SvelteKit + mdsvex (Open-Source)
+last-checked: 2026-05-05
+purpose: SvelteKit DSE-Pattern mit mdsvex-Markdown + Frontmatter-Versionierung.
+---
+
+# SvelteKit — DSE-Section Pattern (mdsvex)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `mdsvex` oder `@sveltejs/enhanced-img` in Dependencies
+- `svelte.config.js` mit `extensions: ['.svelte', '.md']`
+- `src/content/legal/*.md` oder `src/routes/**/+page.md` mit Frontmatter
+- Routes wie `/datenschutz`, `/impressum`, `/agb`
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- DSE in `+page.svelte` inline → kein Frontmatter, keine Versionierung
+- Kein zentrales Auftragsverarbeiter-Register → DSE-Drift gegenueber Realitaet
+- `last-updated` fehlt → User kann Aktualitaet nicht beurteilen
+- Anchor-Links auf Sub-Sektionen funktionieren nicht (keine auto-IDs)
+- DSE-Header-Level inkonsistent zwischen Pages
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| DSE outdated (kein Datum) | Art. 13 DSGVO | HOCH | Frontmatter `lastUpdated` rendern |
+| Auftragsverarbeiter-Section fehlt | Art. 28 DSGVO | KRITISCH | Pflicht-Tabelle in DSE |
+| Missing Loeschungs-Hinweis | Art. 17 DSGVO | HOCH | Section "Ihre Rechte" Pflicht |
+| Sprache nicht deklariert | BITV 2.0 | MITTEL | `<html lang="de">` + `lang`-Attribut |
+| Heading-Hierarchie kaputt (h1 dann h3) | A11y / Klarheit | MITTEL | mdsvex `rehype-slug` + lint |
+
+## Code-Pattern (sanitized)
+
+```javascript
+// File: svelte.config.js
+import adapter from '@sveltejs/adapter-vercel';
+import { mdsvex } from 'mdsvex';
+import rehypeSlug from 'rehype-slug';
+import rehypeAutolinkHeadings from 'rehype-autolink-headings';
+
+const config = {
+  extensions: ['.svelte', '.md'],
+  preprocess: [
+    mdsvex({
+      extensions: ['.md'],
+      rehypePlugins: [
+        rehypeSlug,
+        [rehypeAutolinkHeadings, { behavior: 'wrap' }],
+      ],
+      layout: {
+        legal: 'src/lib/layouts/Legal.svelte',
+      },
+    }),
+  ],
+  kit: {
+    adapter: adapter({ regions: ['fra1'] }),
+  },
+};
+
+export default config;
+```
+
+```markdown
+<!-- File: src/routes/datenschutz/+page.md -->
+---
+title: Datenschutzerklaerung
+layout: legal
+lastUpdated: 2026-05-05
+version: "2.3"
+section: datenschutz
+author: "<placeholder-legal-counsel>"
+---
+
+# Datenschutzerklaerung
+
+## 1. Verantwortliche Stelle
+
+<placeholder-company-name>
+<placeholder-street>
+<placeholder-postal-code> <placeholder-city>
+
+E-Mail: <placeholder-email>
+
+## 2. Erhobene Daten und Zwecke
+
+| Datum | Zweck | Rechtsgrundlage | Speicherdauer |
+|---|---|---|---|
+| Server-Logs (Hash) | Sicherheit | Art. 6 Abs. 1 lit. f | 14 Tage |
+| Cookie-Consent | Nachweis | Art. 7 DSGVO | 12 Monate |
+| Analytics (Opt-In) | Optimierung | Art. 6 Abs. 1 lit. a | <placeholder-days> Tage |
+
+## 3. Auftragsverarbeiter
+
+| Anbieter | Sitz | Zweck | Drittland | AVV |
+|---|---|---|---|---|
+| <placeholder-hosting-provider> | <placeholder-eu-country> | Hosting | Nein | Ja |
+| <placeholder-analytics-provider> | <placeholder-eu-country> | Webanalyse | Nein | Ja |
+| <placeholder-error-tracking-provider> | <placeholder-eu-country> | Error-Tracking | Nein | Ja |
+
+## 4. Cookies und vergleichbare Technologien
+
+Siehe [Cookie-Einstellungen](#cookie-settings) — Sie koennen Ihre Einwilligung
+jederzeit widerrufen.
+
+## 5. Ihre Rechte
+
+Sie haben gegen uns folgende Rechte:
+- Auskunft (Art. 15 DSGVO)
+- Berichtigung (Art. 16 DSGVO)
+- Loeschung (Art. 17 DSGVO)
+- Einschraenkung (Art. 18 DSGVO)
+- Datenuebertragbarkeit (Art. 20 DSGVO)
+- Widerspruch (Art. 21 DSGVO)
+- Beschwerde bei Aufsichtsbehoerde (Art. 77 DSGVO)
+
+Kontakt: <placeholder-email>
+
+## 6. Aenderungen
+
+Die jeweils aktuelle Version dieser Datenschutzerklaerung ist unter dieser
+URL abrufbar. aenderungen werden mit aktualisiertem `Stand`-Datum publiziert.
+```
+
+```svelte
+<!-- File: src/lib/layouts/Legal.svelte -->
+<script lang="ts">
+  export let title: string;
+  export let lastUpdated: string;
+  export let version: string;
+  export let section: string;
+
+  const formattedDate = new Date(lastUpdated).toLocaleDateString('de-DE', {
+    day: '2-digit',
+    month: 'long',
+    year: 'numeric',
+  });
+</script>
+
+<svelte:head>
+  <title>{title}</title>
+  <meta name="robots" content="index,follow" />
+</svelte:head>
+
+<article class="legal" lang="de" data-section={section}>
+  <header>
+    <h1>{title}</h1>
+    <p class="meta">
+      Version {version} —
+      Stand: <time datetime={lastUpdated}>{formattedDate}</time>
+    </p>
+  </header>
+
+  <slot />
+
+  <footer class="legal-footer">
+    <p>
+      Bei Fragen zur Verarbeitung wenden Sie sich an:
+      <a href="mailto:<placeholder-email>"><placeholder-email></a>
+    </p>
+  </footer>
+</article>
+
+<style>
+  .legal { max-width: 65ch; margin: 0 auto; padding: 2rem 1rem; }
+  .meta { color: #666; font-size: 0.9rem; }
+  .legal-footer { margin-top: 4rem; padding-top: 2rem; border-top: 1px solid #ddd; }
+</style>
+```
+
+## AVV / DPA
+
+DSE selbst keine AVV. Aber:
+- Hosting-Provider liefert DSE → AVV
+- DSE listet ALLE anderen Auftragsverarbeiter (siehe Tabelle in Section 3)
+- Bei Aenderungen am Tech-Stack MUSS DSE versioniert werden (Frontmatter `version` bumpen)
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Versionierung dieser Datenschutzerklaerung
+
+Diese Datenschutzerklaerung wird kontinuierlich gepflegt. Aktuelle Version:
+**2.3** vom **5. Mai 2026**.
+
+**Aenderungs-Historie verfuegbar via:**
+- Git-Repository: <placeholder-repo-url>/commits/main/src/routes/datenschutz
+- Tags fuer Major-Versionen: `legal-v2.0`, `legal-v2.3`
+
+**Bei wesentlichen Aenderungen** (neue Datenkategorien, neue
+Auftragsverarbeiter, geaenderte Speicherdauern) informieren wir Sie
+zusaetzlich per E-Mail (sofern Sie Newsletter abonniert haben) oder via
+Banner-Hinweis bei naechstem Webseitenbesuch.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. DSE erreichbar
+curl -sI https://<placeholder-domain>/datenschutz | head -1
+# Erwartung: HTTP/2 200
+
+# 2. Frontmatter-Daten gerendered
+curl -sS https://<placeholder-domain>/datenschutz | grep -ic "stand:\|version"
+
+# 3. Auftragsverarbeiter-Tabelle vorhanden
+curl -sS https://<placeholder-domain>/datenschutz | grep -ic "auftragsverarbeit\|hosting\|analytics"
+
+# 4. Anker-Links generiert
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'id="[^"]+"' | head -10
+# Erwartung: id="verantwortliche-stelle", id="ihre-rechte", etc.
+
+# 5. lang-Attribut
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'lang="[a-z]+"' | head -1
+# Erwartung: lang="de"
+
+# 6. Heading-Hierarchie ohne Sprung
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE '<h[1-6]' | sort -u
+# Erwartung: <h1, <h2, <h3 — kein Skip
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `dse-completeness-checker.ts`, `legal-pages-checker.ts`, `heading-hierarchy-checker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 13, 14, 28
+- BGH-Rechtsprechung: `references/bgh-urteile.md`
+- DSK-Beschluesse: `references/de-dsk-beschluesse.md` (Auftragsverarbeitung)
+- Audit-Pattern: `references/audit-patterns.md` Phase 1 (DSE-Vollstaendigkeit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/svelte/sveltekit-server-hooks-pattern.md

@@ -0,0 +1,217 @@
+---
+license: MIT (snippet)
+provider: SvelteKit (Open-Source)
+last-checked: 2026-05-05
+purpose: SvelteKit Server-Hooks Pattern fuer Tracker-Authorization + Consent-Cookie-Forwarding.
+---
+
+# SvelteKit — Server-Hooks Pattern (Tracker-Auth + Consent-Forward)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `src/hooks.server.ts` oder `src/hooks.server.js`
+- `handle`/`handleFetch` Export
+- `event.cookies` / `event.locals` Usage
+- Optional: `/api/track` oder `/api/consent-log` Server-Endpoints
+
+Pattern: Server-Hooks pruefen den Consent-Cookie BEVOR sie Tracker-Server-Calls (intern oder als Reverse-Proxy) durchfuehren. Bei fehlendem Consent wird der Tracker-Forward unterdrueckt.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- Default-`hooks.server.ts` ist meistens leer (kein Handle-Export) → keine Cookie-Validierung
+- `handleFetch` wird nicht ueberschrieben → SvelteKit forwarded Server-Side-Fetch ohne Consent-Pruefung
+- Tracker-Calls werden in `+page.server.ts` blind ausgefuehrt
+- Set-Cookie-Header werden vom Server gesetzt ohne `Secure;HttpOnly;SameSite=Lax`-Flags
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Server-Tracker-Call ohne Consent | § 25 TDDDG | KRITISCH | Hook prueft `cookie-consent` vor Forward |
+| Tracker-Cookie ohne `Secure` Flag | Art. 32 DSGVO | HOCH | `cookies.set(..., { secure, sameSite: 'lax' })` |
+| Drittland-Forward in `handleFetch` | Art. 44 DSGVO | KRITISCH | Allowlist EU-Hosts |
+| Klartext-IP in Server-Logs | Art. 5 Abs. 1 lit. f | HOCH | IP-Hash in Hook |
+| Consent-Cookie nicht `HttpOnly` (wenn nur Server liest) | Art. 32 DSGVO | MITTEL | Trennung: Read-Cookie HttpOnly, Banner-Cookie nicht |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/hooks.server.ts
+import type { Handle, HandleFetch } from '@sveltejs/kit';
+import { sequence } from '@sveltejs/kit/hooks';
+import crypto from 'node:crypto';
+
+const ANALYTICS_ALLOWLIST = new Set([
+  '<placeholder-eu-analytics-host>',
+  '<placeholder-eu-error-tracking-host>',
+]);
+
+const consentHandle: Handle = async ({ event, resolve }) => {
+  // 1. Lese Consent-Cookie (kein HttpOnly, weil Banner-Komponente liest)
+  const raw = event.cookies.get('cookie-consent');
+  let consent = { necessary: true, analytics: false, marketing: false };
+  if (raw) {
+    try {
+      consent = { ...consent, ...JSON.parse(raw) };
+    } catch {
+      /* ignore malformed */
+    }
+  }
+
+  // 2. In locals fuer Page-Server-Code verfuegbar
+  event.locals.consent = consent;
+
+  // 3. IP-Hash fuer Logs (anonymisiert)
+  const rawIp = event.getClientAddress();
+  event.locals.ipHash = crypto
+    .createHash('sha256')
+    .update(rawIp + (process.env.IP_HASH_SALT ?? ''))
+    .digest('hex')
+    .slice(0, 16);
+
+  // 4. Resolve Request
+  const response = await resolve(event);
+
+  // 5. Security-Headers
+  response.headers.set('X-Content-Type-Options', 'nosniff');
+  response.headers.set('Referrer-Policy', 'strict-origin-when-cross-origin');
+  response.headers.set('Permissions-Policy', 'geolocation=(), camera=(), microphone=()');
+
+  return response;
+};
+
+const fetchHandle: HandleFetch = async ({ event, request, fetch }) => {
+  const url = new URL(request.url);
+
+  // Allowlist-Check fuer Drittland-Calls
+  if (!ANALYTICS_ALLOWLIST.has(url.host) && url.host !== event.url.host) {
+    // Pruefe Consent vor externem Fetch
+    if (!event.locals.consent?.analytics) {
+      return new Response(JSON.stringify({ blocked: 'consent-required' }), {
+        status: 403,
+        headers: { 'Content-Type': 'application/json' },
+      });
+    }
+  }
+
+  return fetch(request);
+};
+
+export const handle = sequence(consentHandle);
+export const handleFetch = fetchHandle;
+```
+
+```typescript
+// File: src/app.d.ts (Type-Augmentation)
+declare global {
+  namespace App {
+    interface Locals {
+      consent: {
+        necessary: true;
+        analytics: boolean;
+        marketing: boolean;
+      };
+      ipHash: string;
+    }
+  }
+}
+
+export {};
+```
+
+```typescript
+// File: src/routes/api/track/+server.ts
+import type { RequestHandler } from './$types';
+import { json } from '@sveltejs/kit';
+
+export const POST: RequestHandler = async ({ request, locals }) => {
+  // Hook hat consent + ipHash gesetzt
+  if (!locals.consent.analytics) {
+    return json({ blocked: 'analytics-opt-out' }, { status: 204 });
+  }
+
+  const payload = await request.json();
+  const safe = {
+    path: typeof payload.path === 'string' ? payload.path.slice(0, 200) : '/',
+    visitorHash: locals.ipHash,
+    timestamp: new Date().toISOString(),
+  };
+
+  // Forward an EU-Provider (im Allowlist)
+  await fetch('https://<placeholder-eu-analytics-host>/api/event', {
+    method: 'POST',
+    headers: {
+      'Content-Type': 'application/json',
+      Authorization: `Bearer ${process.env.ANALYTICS_TOKEN}`,
+    },
+    body: JSON.stringify(safe),
+  });
+
+  return new Response(null, { status: 204 });
+};
+```
+
+```typescript
+// File: src/routes/+layout.server.ts
+import type { LayoutServerLoad } from './$types';
+
+export const load: LayoutServerLoad = ({ locals }) => {
+  return {
+    // Niemals ipHash an Client leaken
+    consent: locals.consent,
+  };
+};
+```
+
+## AVV / DPA
+
+- Hosting-Adapter mit EU-Region (Vercel `regions: ['fra1']` / Cloudflare Workers EU) — Art. 28 DSGVO
+- Analytics-Provider (im Allowlist) — AVV mit EU-Hosting
+- Logging-Provider (Sentry / Datadog EU) — AVV; Logs muessen IP-Hashed sein
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Server-Side-Verarbeitung
+
+Diese Webseite verwendet SvelteKit mit Server-Side Rendering. Beim
+initialen Aufruf werden serverseitig folgende Daten kurzzeitig verarbeitet:
+
+- IP-Adresse: nur als SHA-256-Hash (mit Salt) gespeichert, niemals im Klartext
+- User-Agent (anonymisiert auf Browser-Familie)
+- Sprach-Header (`Accept-Language`)
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Stabilitaet)
+i.V.m. § 25 Abs. 2 Nr. 2 TDDDG.
+**Speicherdauer:** Server-Logs 14 Tage, Hashes 30 Tage zur Missbrauchs-Erkennung.
+**Externe Forwards:** nur an Auftragsverarbeiter im EU-Wirtschaftsraum
+([Liste in Auftragsverarbeiter-Section](#auftragsverarbeiter)).
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. Security-Headers gesetzt
+curl -sI https://<placeholder-domain>/ | grep -iE "x-content-type-options|referrer-policy|permissions-policy"
+# Erwartung: 3 Treffer
+
+# 2. Tracker-Endpoint blockt ohne Consent-Cookie
+curl -X POST https://<placeholder-domain>/api/track \
+  -H "Content-Type: application/json" -d '{"path":"/test"}' -i
+# Erwartung: 204 mit "analytics-opt-out"
+
+# 3. handleFetch blockiert Drittland-Forward
+# (manueller Test: setze Server-Code-Stelle die nicht-allowlisted Host fetcht)
+
+# 4. IP-Hash niemals im Client-State
+curl -sS https://<placeholder-domain>/ | grep -ic "ipHash"
+# Erwartung: 0
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `server-hook-checker.ts`, `cors-allowlist-checker.ts`, `pii-flow-tracker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 32 (Sicherheit), Art. 44 (Drittland)
+- BGH-Rechtsprechung: `references/bgh-urteile.md`
+- Audit-Pattern: `references/audit-patterns.md` Phase 3 (Drittland-Audit), Phase 6 (Server-Side-Logs)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/tracking/google-analytics-consent.md

@@ -0,0 +1,129 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: Google (Google LLC, USA)
+provider-AVV-status: GA4-DPA + EU-Server-Standort verfuegbar (Consent Mode v2)
+last-checked: 2026-05-02
+purpose: Google Analytics 4 mit Consent Mode v2 + EU-Standort + IP-Anonymisierung.
+---
+
+# Google Analytics 4 — TOMs + Consent Mode v2
+
+## 1. Default-Verhalten
+
+- Datenstandort: konfigurierbar (EU oder US-Server, Default haengt von GA-Property-Setup ab)
+- **Cookies**: `_ga`, `_ga_*`, `_gid` — Pflicht Consent
+- IP-Anonymisierung: in GA4 standardmaessig aktiv (von Google)
+- Consent Mode v2: ab Maerz 2024 EEA-Pflicht (EU + UK + CH)
+
+## 2. Compliance-Risiken
+
+| Risiko | Wirkung | Fix |
+|---|---|---|
+| Tracker laedt vor Consent | § 25 TDDDG-Verstoss + Massen-Abmahn-Welle | ConsentGate Pflicht |
+| US-Server-Standort | Schrems II / DPF-Risiko | Server-Side-Tagging mit EU-Endpoint |
+| GA-Cookies in Consent-Banner als „necessary" deklariert | Tatsachen-Verschleierung + UWG | Marketing-Kategorie |
+| Cross-Site-Tracking via _ga | Aufgewertete-Profile-Bildung | Server-Side-Tagging + sgtm.io |
+
+## 3. Code-Pattern (Next.js + Consent Mode v2)
+
+```tsx
+// File: src/components/analytics/GoogleAnalytics.tsx
+'use client';
+
+import Script from 'next/script';
+import { useConsent } from '@/lib/consent';
+
+const GA_MEASUREMENT_ID = process.env.NEXT_PUBLIC_GA_MEASUREMENT_ID;
+
+export default function GoogleAnalytics() {
+  const { consent } = useConsent();
+
+  if (!GA_MEASUREMENT_ID) return null;
+
+  return (
+    <>
+      <Script
+        strategy="afterInteractive"
+        src={`https://www.googletagmanager.com/gtag/js?id=${GA_MEASUREMENT_ID}`}
+      />
+      <Script id="ga-config" strategy="afterInteractive">
+        {`
+          window.dataLayer = window.dataLayer || [];
+          function gtag(){dataLayer.push(arguments);}
+          gtag('js', new Date());
+
+          // Consent Mode v2 — Pflicht-Default vor User-Choice
+          gtag('consent', 'default', {
+            'ad_storage': 'denied',
+            'analytics_storage': '${consent.analytics ? 'granted' : 'denied'}',
+            'ad_user_data': '${consent.marketing ? 'granted' : 'denied'}',
+            'ad_personalization': '${consent.marketing ? 'granted' : 'denied'}',
+            'wait_for_update': 500
+          });
+
+          gtag('config', '${GA_MEASUREMENT_ID}', {
+            anonymize_ip: true,
+            cookie_flags: 'SameSite=None;Secure'
+          });
+        `}
+      </Script>
+    </>
+  );
+}
+```
+
+## 4. Update bei Consent-Aenderung
+
+```tsx
+// In useConsent-Hook:
+useEffect(() => {
+  if (typeof window !== 'undefined' && (window as any).gtag) {
+    (window as any).gtag('consent', 'update', {
+      analytics_storage: consent.analytics ? 'granted' : 'denied',
+      ad_user_data: consent.marketing ? 'granted' : 'denied',
+      ad_personalization: consent.marketing ? 'granted' : 'denied',
+    });
+  }
+}, [consent]);
+```
+
+## 5. Server-Side-Tagging (besser, optional)
+
+EU-Endpoint via sgtm.io oder Self-Hosting:
+```ts
+// Frontend posted Events an EU-Endpoint
+fetch('https://gtm.example.com/g/collect', { /* ... */ });
+```
+
+## 6. AVV / DPA
+
+- **DPA-Link**: https://business.safety.google/adsprocessorterms/
+- **SCC-Modul**: Module 2 + 3
+- **DPF**: Google ist DPF-zertifiziert (Sep 2023)
+
+## 7. DSE-Wording-Vorlage
+
+> Wir nutzen Google Analytics 4 (Google LLC, 1600 Amphitheatre Pkwy, Mountain View, USA)
+> mit Consent Mode v2. Daten werden nur mit Ihrer ausdruecklichen Einwilligung erhoben
+> (Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG). IP-Anonymisierung ist aktiv.
+> EU-SCC Modul 2 + 3 abgeschlossen. Datenschutzhinweise von Google:
+> https://policies.google.com/privacy.
+
+## 8. Az.-Anker
+
+- EuGH C-673/17 Planet49 (Cookie-Einwilligung)
+- BGH I ZR 7/16 (DSGVO als UWG-Schutzgesetz)
+- LG Berlin 16 O 252/22 (Reject-All-Pflicht)
+- LG Duesseldorf 12 O 33/24 (TCF-Banner ohne lokale Wirksamkeit unzureichend)
+
+## 9. Verify
+
+```bash
+# 1. Pre-Consent-Loading-Pruefung
+curl -s https://example.com -H "Cookie: " | grep -ic "googletagmanager"
+# Erwartung: 0 Hits
+
+# 2. Mit gesetztem Consent-Cookie
+curl -s -b "cookie-consent=$(echo '{\"analytics\":true}' | base64)" https://example.com | grep -ic "googletagmanager"
+# Erwartung: 1+ Hits
+```

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/tracking/plausible-pattern.md

@@ -0,0 +1,107 @@
+---
+license: MIT (snippet)
+provider: Plausible Insights OÜ (Estland) — EU-Anbieter
+provider-AVV-status: Standardvertrag verfügbar (DPA)
+last-checked: 2026-05-01
+---
+
+# Plausible Analytics — Cookieless Tracking + DSE-Wording
+
+## 1. Default-Verhalten
+
+- **Cookieless** by default — keine Tracking-Cookies, kein LocalStorage
+- **EU-Hosting**: Server in Deutschland (Hetzner Falkenstein)
+- **IP-Anonymisierung**: serverseitig, keine vollständige IP gespeichert
+- **DNT-Respektierung**: Plausible respektiert Do-Not-Track auf Server-Seite
+- **GDPR-konform** by design: keine personenbezogenen Daten gespeichert (anonyme Aggregate)
+
+## 2. Compliance-Risiken
+
+| Risiko | Wirkung | Fix |
+|--------|---------|-----|
+| Trotz cookieless: Skript-Aufruf von externer Domain | minimaler Drittland-Risk | Selbst-Hosting via Subdomain (siehe Code-Pattern) |
+| Outbound-Link-Tracking | Browser-Telemetrie | per Skript-Variante optional |
+| Custom-Events mit personenbezogenen Daten | Risiko Re-Identifizierung | Events ohne PII (nur Page-Path / Action-Type) |
+
+## 3. Code-Pattern: env-driven, self-hostable
+
+```tsx
+// File: src/components/analytics/Plausible.tsx
+'use client';
+import Script from 'next/script';
+
+export function PlausibleAnalytics() {
+  // env-driven: Default = own-subdomain für ZUSÄTZLICHE Hardenings
+  const host = (
+    process.env.NEXT_PUBLIC_PLAUSIBLE_HOST ?? 'https://plausible.io'
+  ).replace(/\/+$/, '');
+  const domain = process.env.NEXT_PUBLIC_PLAUSIBLE_DOMAIN;
+
+  if (!domain) return null; // fail-soft
+
+  return (
+    <Script
+      strategy="afterInteractive"
+      defer
+      data-domain={domain}
+      data-api={`${host}/api/event`}
+      src={`${host}/js/script.js`}
+    />
+  );
+}
+```
+
+```typescript
+// Custom-Events ohne PII
+const trackPlausibleEvent = (name: string, props?: Record<string, string | number>) => {
+  if (typeof window === 'undefined') return;
+  const w = window as any;
+  if (typeof w.plausible === 'function') {
+    w.plausible(name, { props });
+  }
+};
+
+// OK: trackPlausibleEvent('signup_clicked', { plan: 'pro' });
+// NICHT OK: trackPlausibleEvent('user_login', { email: 'a@b.de' });  // PII-Verbot
+```
+
+## 4. AVV / DPA
+
+- **DPA-Link**: https://plausible.io/dpa.pdf
+- **GDPR-konform-Statement**: https://plausible.io/data-policy
+- **Sub-Processors**: Hetzner (Hosting, DE), Mailgun EU (E-Mail-Versand für Reports)
+
+## 5. DSE-Wording-Vorlage
+
+> **Reichweitenmessung mit Plausible Analytics.** Wir nutzen Plausible
+> Analytics (Anbieter: Plausible Insights OÜ, Tallinn, Estland) als
+> Werkzeug zur anonymen Reichweitenmessung. Plausible setzt **keine
+> Cookies** und speichert **keine personenbezogenen Daten** — IP-Adressen
+> werden serverseitig nicht gespeichert, sondern über einen Hash anonym
+> aggregiert. Die Daten verbleiben in der EU (Hetzner-Server in
+> Deutschland). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes
+> Interesse an aggregierter Reichweitenmessung). Wegen der vollständigen
+> Anonymisierung ist eine Einwilligung nach § 25 TDDDG **nicht
+> erforderlich** (kein Speichern von Informationen in der Endeinrichtung).
+> Datenschutz Plausible: https://plausible.io/privacy.
+
+**Wichtig:** Diese Wording-Variante gilt nur bei Default-Plausible (cookieless + ohne Custom-Events mit PII). Bei Outbound-Link-Tracking + zusätzlichen Skript-Features erweitern.
+
+## 6. Verify-Commands
+
+```bash
+# Cookies-Check (sollte KEINE plausible-Cookies setzen)
+curl -s -c /tmp/cookies.txt https://<your-domain> > /dev/null
+grep -i plausible /tmp/cookies.txt
+# erwarte: kein Treffer
+
+# Skript-Source
+curl -s https://<your-domain> | grep -oE 'data-domain="[^"]+"'
+# erwarte: deine Domain
+```
+
+## 7. Az.-Anker (Cookies allgemein, nicht plausible-spezifisch)
+
+Keine spezifische Az. zu Plausible (zu jung). Allgemein: § 25 TDDDG-Befreiung gilt für Reichweitenmessung mit echter Anonymisierung — kommt aus EDPB Guidelines 2/2023 zur „Audience Measurement"-Ausnahme.
+
+Source: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22023-technical-scope-art-53-eprivacy_en