@aegis-scan/skills 0.4.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/tracking/posthog-consent.md

@@ -0,0 +1,79 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: PostHog (PostHog Inc., USA — EU-Cloud verfuegbar)
+provider-AVV-status: DPA verfuegbar + EU-Cloud-Region
+last-checked: 2026-05-02
+purpose: PostHog Consent + EU-Cloud-Region.
+---
+
+# PostHog — Consent + EU-Cloud
+
+## 1. Default-Verhalten
+
+- US-Cloud (default) ODER EU-Cloud (eu.posthog.com)
+- Cookies: `ph_*`, `ph_phc_*`
+- Self-Hosting moeglich (Open-Source)
+
+## 2. Compliance-Risiken
+
+| Risiko | Wirkung | Fix |
+|---|---|---|
+| Default US-Cloud | Drittland | EU-Cloud (eu.posthog.com) waehlen |
+| Auto-Capture aller Events | DSGVO-Datenminimierung | Selective Capture |
+| Pre-Consent-Loading | § 25 TDDDG | ConsentGate |
+
+## 3. Code-Pattern (Next.js)
+
+```tsx
+// File: src/components/analytics/PostHog.tsx
+'use client';
+
+import { useEffect } from 'react';
+import posthog from 'posthog-js';
+import { useConsent } from '@/lib/consent';
+
+const POSTHOG_KEY = process.env.NEXT_PUBLIC_POSTHOG_KEY;
+const POSTHOG_HOST = process.env.NEXT_PUBLIC_POSTHOG_HOST || 'https://eu.posthog.com';  // EU
+
+export default function PostHogProvider() {
+  const { hasConsented } = useConsent();
+
+  useEffect(() => {
+    if (!POSTHOG_KEY) return;
+    if (!hasConsented('analytics')) {
+      posthog.opt_out_capturing();
+      return;
+    }
+
+    posthog.init(POSTHOG_KEY, {
+      api_host: POSTHOG_HOST,
+      capture_pageview: true,
+      autocapture: false,  // Selective Capture (Datenminimierung)
+      disable_session_recording: true,  // Privacy-friendly default
+      mask_all_text: true,  // Mask Inputs by default
+      person_profiles: 'identified_only',  // Nur eingeloggte User profilieren
+    });
+    posthog.opt_in_capturing();
+  }, [hasConsented]);
+
+  return null;
+}
+```
+
+## 4. AVV / DPA
+
+- **DPA-Link**: https://posthog.com/dpa
+- **EU-Cloud**: eu.posthog.com (Frankfurt)
+
+## 5. DSE-Wording-Vorlage
+
+> Wir nutzen PostHog (PostHog Inc., 2261 Market St, San Francisco, USA — EU-Cloud Frankfurt)
+> als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Datenstandort: EU. EU-SCC Modul 2.
+> Datenschutzhinweise: https://posthog.com/privacy.
+
+## 6. Verify
+
+```bash
+# EU-Cloud-Pruefung
+curl -sI https://eu.posthog.com/decide | grep -i "X-Region"
+```

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/vue/cookie-banner-pattern.md

@@ -0,0 +1,208 @@
+---
+license: MIT (snippet)
+provider: Vue.js (Open-Source)
+last-checked: 2026-05-05
+purpose: Vue 3 Cookie-Banner Pattern mit Composition-API + useConsent Composable + Teleport.
+---
+
+# Vue — Cookie-Banner (Pattern)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `vue` in `package.json` Dependencies (Version >= 3.x)
+- `src/main.ts` mit `createApp(App).mount('#app')`
+- `<script setup>`-Komponenten in `src/**/*.vue`
+- Optional: `pinia` / `vuex` State-Management
+- Optional: `vue-router` mit Navigation-Guards
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- SPA-Default: Banner-State im Memory → reload zeigt Banner erneut
+- Tracker-SDKs in `main.ts` initialisiert vor Banner-Mount
+- Reactive State leakt zwischen Visitors (bei SSR)
+- `localStorage` Access vor Mount kann hydration-mismatch ausloesen (bei Nuxt)
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Tracker in `main.ts` vor Consent | § 25 TDDDG | KRITISCH | Lazy-Init nach Consent-Event |
+| LocalStorage-Read in `setup()` SSR | DSGVO Art. 25 | HOCH | `onMounted` + `useStorage` (VueUse) |
+| Banner als Komponente ohne `<Teleport>` | A11y / DSGVO Klarheit | MITTEL | `<Teleport to="body">` fuer Modal-Style |
+| Drittland-Tracker via CDN | Art. 44 DSGVO | KRITISCH | EU-Provider + AVV |
+| Pre-Tick im Settings | EuGH C-673/17 | KRITISCH | Default `false` fuer Opt-In |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/composables/useConsent.ts
+import { ref, computed, watch, readonly } from 'vue';
+
+export type Consent = {
+  necessary: true;
+  analytics: boolean;
+  marketing: boolean;
+  timestamp?: string;
+  version: '1.0';
+};
+
+const STORAGE_KEY = 'cookie-consent';
+
+const defaultConsent: Consent = {
+  necessary: true,
+  analytics: false,
+  marketing: false,
+  version: '1.0',
+};
+
+const consent = ref<Consent>({ ...defaultConsent });
+const hasDecided = ref(false);
+
+function loadFromStorage() {
+  if (typeof window === 'undefined') return;
+  const raw = localStorage.getItem(STORAGE_KEY);
+  if (!raw) return;
+  try {
+    consent.value = JSON.parse(raw);
+    hasDecided.value = true;
+  } catch {
+    /* ignore malformed */
+  }
+}
+
+function persist(next: Partial<Consent>) {
+  consent.value = { ...consent.value, ...next, timestamp: new Date().toISOString() };
+  localStorage.setItem(STORAGE_KEY, JSON.stringify(consent.value));
+  hasDecided.value = true;
+  fetch('/api/consent-log', {
+    method: 'POST',
+    headers: { 'Content-Type': 'application/json' },
+    body: JSON.stringify(consent.value),
+  });
+}
+
+function reset() {
+  localStorage.removeItem(STORAGE_KEY);
+  consent.value = { ...defaultConsent };
+  hasDecided.value = false;
+}
+
+export function useConsent() {
+  return {
+    consent: readonly(consent),
+    hasDecided: readonly(hasDecided),
+    loadFromStorage,
+    persist,
+    acceptAll: () => persist({ analytics: true, marketing: true }),
+    rejectAll: () => persist({ analytics: false, marketing: false }),
+    reset,
+  };
+}
+```
+
+```vue
+<!-- File: src/components/CookieBanner.vue -->
+<script setup lang="ts">
+import { onMounted, computed } from 'vue';
+import { useConsent } from '@/composables/useConsent';
+
+const { consent, hasDecided, loadFromStorage, acceptAll, rejectAll, persist } = useConsent();
+
+onMounted(() => {
+  loadFromStorage();
+});
+
+const visible = computed(() => !hasDecided.value);
+</script>
+
+<template>
+  <Teleport to="body">
+    <aside
+      v-if="visible"
+      role="dialog"
+      aria-label="Cookie-Einwilligung"
+      class="cookie-banner"
+    >
+      <p>
+        Wir nutzen Cookies fuer notwendige Funktionen.
+        Mit Ihrer Einwilligung zusaetzlich fuer Webanalyse.
+        Details:
+        <RouterLink to="/datenschutz">Datenschutzerklaerung</RouterLink>.
+      </p>
+      <div class="cookie-actions">
+        <!-- Buttons gleichwertig (OLG Koeln 6 U 80/23) -->
+        <button @click="rejectAll" class="btn-secondary">Nur Notwendige</button>
+        <button @click="acceptAll" class="btn-primary">Alle akzeptieren</button>
+      </div>
+    </aside>
+  </Teleport>
+</template>
+```
+
+```typescript
+// File: src/main.ts
+import { createApp } from 'vue';
+import { createPinia } from 'pinia';
+import App from './App.vue';
+import router from './router';
+
+const app = createApp(App);
+app.use(createPinia());
+app.use(router);
+
+// KEIN Tracker-Init hier — erst nach Consent-Event
+window.addEventListener('consent:granted', (event: any) => {
+  if (event.detail?.analytics) {
+    import('./trackers/analytics').then(m => m.init());
+  }
+});
+
+app.mount('#app');
+```
+
+## AVV / DPA
+
+- Hosting (Vite-Build static / Nuxt SSR auf Vercel/Netlify) — Art. 28 DSGVO
+- Optional Pinia-Persisted-Store-Provider (z.B. localStorage = kein AVV; backend-sync = AVV)
+- Tracker-Provider (Plausible EU / Matomo Cloud EU / self-hosted Umami) — AVV
+- Form-Backends (Formspree / FormBricks) — AVV bei Drittland: SCC + TIA
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Webanalyse (mit Einwilligung)
+
+Sofern Sie Ihre Einwilligung erteilen, verwenden wir <placeholder-analytics-provider>
+zur statistischen Auswertung der Webseiten-Nutzung. Verarbeitete Daten:
+- Anonymisierte Besuchsdauer
+- Referrer (ohne Query)
+- Geraet-Typ (Desktop/Mobile)
+
+**Anbieter:** <placeholder-analytics-provider>, Sitz <placeholder-eu-country>
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG
+**Speicherdauer:** <placeholder-days> Tage
+**Widerruf:** [Cookie-Einstellungen](#cookie-settings) im Footer
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. Banner visible bei Erstbesuch
+curl -sS https://<placeholder-domain>/ | grep -ic "cookie-banner\|cookie-einwilligung"
+
+# 2. Tracker-Bundle nicht im initial-load
+curl -sS https://<placeholder-domain>/ | grep -oE 'src="[^"]*\.js"' | grep -i "analytics\|tracker"
+# Erwartung: leer oder nur lazy-chunk-Hashes
+
+# 3. Playwright: Tracker-Request erst nach Accept
+npx playwright test e2e/consent.spec.ts
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `cookie-audit.ts`, `consent-flow-checker.ts`, `tracking-scan.ts`
+- Skill-Reference: `references/dsgvo.md` § 25 TDDDG, Art. 7 DSGVO
+- BGH-Rechtsprechung: `references/bgh-urteile.md` BGH I ZR 7/16
+- OLG-Rechtsprechung: OLG Koeln 6 U 80/23 (Button-Gleichwertigkeit)
+- Audit-Pattern: `references/audit-patterns.md` Phase 2 (Cookie-Audit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/vue/dse-i18n-pattern.md

@@ -0,0 +1,204 @@
+---
+license: MIT (snippet)
+provider: Nuxt 3 + @nuxtjs/i18n (Open-Source)
+last-checked: 2026-05-05
+purpose: Nuxt-i18n DSE-Pattern fuer mehrsprachige Datenschutzerklaerung mit Locale-Routing.
+---
+
+# Nuxt-i18n — DSE-Pattern (mehrsprachig)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `@nuxtjs/i18n` in Dependencies
+- `nuxt.config.ts` mit `modules: ['@nuxtjs/i18n']`
+- `i18n/locales/*.json` oder `i18n/locales/*.ts` Locale-Files
+- `useI18n` / `$t` in Components
+- Routes wie `/de/datenschutz`, `/en/privacy`
+
+Pattern: DSE existiert in mehreren Sprachen — DE-Version ist rechtlich-verbindlich, EN-Version erklaerend. Locale-Detection bestimmt Default-View, Banner-Text und DSE-Inhalt.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- Default-Locale-Detection via `Accept-Language`-Header → kann Drittland-IP triggern
+- Cookie `i18n_redirected` gesetzt ohne § 25 TDDDG-Check
+- DSE-Versionen koennen drift (DE updated, EN nicht)
+- Cookie-Banner-Text aus EN-Locale falls IP nicht-DE → User versteht Banner nicht
+- Fehlende `hreflang`-Tags → SEO + Transparenz
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| `i18n_redirected`-Cookie ohne Consent | § 25 TDDDG | HOCH | als notwendiger Cookie deklarieren oder als Session entfernen |
+| DSE-Versionen drift zwischen Sprachen | Art. 12 DSGVO Klarheit | KRITISCH | CI-Check `last-updated` synchron |
+| Banner-Text in falscher Sprache | EuGH C-673/17 (Klarheit) | HOCH | DE-Default fuer DE-Visitors via IP-Geolocation |
+| Locale-Detection mit IP-Geo | Art. 6 Abs. 1 DSGVO | MITTEL | nur Accept-Language, kein IP-Lookup |
+| Fehlende `hreflang`-Tags | SEO / DSGVO Transparenz | NIEDRIG | `<link hreflang="de">` setzen |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: nuxt.config.ts
+export default defineNuxtConfig({
+  modules: ['@nuxtjs/i18n'],
+  i18n: {
+    defaultLocale: 'de',
+    locales: [
+      { code: 'de', iso: 'de-DE', file: 'de.json', name: 'Deutsch' },
+      { code: 'en', iso: 'en-US', file: 'en.json', name: 'English' },
+    ],
+    strategy: 'prefix_except_default',  // / = de, /en = en
+    detectBrowserLanguage: {
+      useCookie: true,
+      cookieKey: 'i18n_redirected',
+      cookieSecure: true,
+      cookieCrossOrigin: false,
+      redirectOn: 'root',
+      // KEIN IP-Geo-Lookup
+    },
+  },
+});
+```
+
+```json
+// File: i18n/locales/de.json (Auszug)
+{
+  "cookie": {
+    "title": "Cookie-Einwilligung",
+    "intro": "Wir nutzen Cookies fuer notwendige Funktionen. Mit Ihrer Einwilligung zusaetzlich fuer Webanalyse.",
+    "moreInfo": "Details in der",
+    "privacyLink": "Datenschutzerklaerung",
+    "rejectAll": "Nur Notwendige",
+    "acceptAll": "Alle akzeptieren",
+    "settings": "Einstellungen"
+  },
+  "privacy": {
+    "title": "Datenschutzerklaerung",
+    "lastUpdated": "Stand: {date}",
+    "version": "Version {version}"
+  }
+}
+```
+
+```json
+// File: i18n/locales/en.json (Auszug — informational, NICHT rechtsverbindlich)
+{
+  "cookie": {
+    "title": "Cookie Consent",
+    "intro": "We use cookies for essential functions. With your consent additionally for analytics.",
+    "moreInfo": "Details in our",
+    "privacyLink": "Privacy Policy",
+    "rejectAll": "Only Essential",
+    "acceptAll": "Accept All",
+    "settings": "Settings"
+  },
+  "privacy": {
+    "title": "Privacy Policy",
+    "lastUpdated": "Last updated: {date}",
+    "version": "Version {version}",
+    "legalNote": "This is a translation. The German version is legally binding."
+  }
+}
+```
+
+```vue
+<!-- File: pages/datenschutz.vue / pages/privacy.vue -->
+<script setup lang="ts">
+const { locale, t } = useI18n();
+const localePath = useLocalePath();
+
+useHead(() => ({
+  htmlAttrs: { lang: locale.value },
+  title: t('privacy.title'),
+  link: [
+    { rel: 'alternate', hreflang: 'de', href: '<placeholder-domain>/datenschutz' },
+    { rel: 'alternate', hreflang: 'en', href: '<placeholder-domain>/en/privacy' },
+    { rel: 'alternate', hreflang: 'x-default', href: '<placeholder-domain>/datenschutz' },
+  ],
+}));
+
+// Last-updated wird aus Frontmatter eines lokalen Content-Files gelesen
+const { data: legal } = await useAsyncData('privacy', () =>
+  queryContent(`/legal/${locale.value}/privacy`).findOne()
+);
+</script>
+
+<template>
+  <article class="legal">
+    <header>
+      <h1>{{ t('privacy.title') }}</h1>
+      <p class="meta">
+        {{ t('privacy.lastUpdated', { date: legal?.lastUpdated }) }}
+        — {{ t('privacy.version', { version: legal?.version }) }}
+      </p>
+      <p v-if="locale !== 'de'" class="legal-note">
+        <strong>{{ t('privacy.legalNote') }}</strong>
+        <RouterLink :to="localePath('/datenschutz', 'de')">DE</RouterLink>
+      </p>
+    </header>
+    <ContentDoc :path="`/legal/${locale}/privacy`" />
+  </article>
+</template>
+```
+
+## AVV / DPA
+
+- Hosting-Provider mit EU-SSR-Region — Art. 28 DSGVO
+- Cookie `i18n_redirected` = First-Party, kein AVV
+- Translation-Service (falls extern, z.B. DeepL Pro) — AVV erforderlich
+- Content-Lieferant fuer DSE-Texte (Anwalt/Lawyer) — Werkvertrag, kein AVV (kein Daten-Verarbeiter)
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Sprachversionen
+
+Diese Datenschutzerklaerung ist in mehreren Sprachversionen verfuegbar.
+Rechtsverbindlich ist ausschliesslich die **deutsche Version**. Andere
+Sprachversionen dienen lediglich dem Verstaendnis.
+
+**Verfuegbare Sprachen:**
+- Deutsch (verbindlich): `<placeholder-domain>/datenschutz`
+- English (informational): `<placeholder-domain>/en/privacy`
+
+### Sprach-Praeferenz-Cookie
+
+Wir setzen einen Cookie `i18n_redirected` zur Speicherung Ihrer
+Sprach-Praeferenz. Dieser Cookie ist technisch notwendig (Art. 6 Abs. 1
+lit. f DSGVO i.V.m. § 25 Abs. 2 Nr. 2 TDDDG) und erfordert keine
+Einwilligung.
+
+**Speicherdauer:** 365 Tage. **Inhalt:** ausschliesslich der gewaehlte
+Locale-Code (z.B. `de` oder `en`).
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. hreflang-Tags vorhanden
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'hreflang="[^"]+"' | sort -u
+# Erwartung: hreflang="de", hreflang="en", hreflang="x-default"
+
+# 2. lang-Attribut korrekt pro Locale
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'lang="[a-z]+"' | head -1
+# Erwartung: lang="de"
+curl -sS https://<placeholder-domain>/en/privacy | grep -oE 'lang="[a-z]+"' | head -1
+# Erwartung: lang="en"
+
+# 3. last-updated synchron zwischen Locales (CI-Check)
+DE_DATE=$(grep -oE 'lastUpdated: [0-9-]+' content/legal/de/privacy.md | head -1)
+EN_DATE=$(grep -oE 'lastUpdated: [0-9-]+' content/legal/en/privacy.md | head -1)
+[ "$DE_DATE" = "$EN_DATE" ] && echo "OK" || echo "DRIFT: DE=$DE_DATE EN=$EN_DATE"
+
+# 4. legalNote in EN-Version sichtbar
+curl -sS https://<placeholder-domain>/en/privacy | grep -ic "legally binding\|german version"
+# Erwartung: >=1
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `i18n-drift-checker.ts`, `dse-completeness-checker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 12 (Klarheit), Art. 13 (Informationspflichten)
+- BGH-Rechtsprechung: `references/bgh-urteile.md`
+- Audit-Pattern: `references/audit-patterns.md` Phase 1 (DSE-Vollstaendigkeit), Phase 5 (Multi-Locale-Drift)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/vue/nuxt-vs-vue-only-pattern.md

@@ -0,0 +1,197 @@
+---
+license: MIT (snippet)
+provider: Nuxt 3 / Vue 3 (Open-Source)
+last-checked: 2026-05-05
+purpose: Nuxt 3 SSR vs Vue-only SPA Hydration-Pattern fuer DSGVO-konforme Tracker-Initialisierung.
+---
+
+# Nuxt vs Vue-only — Hydration-Pattern (Tracker-Lazy-Init)
+
+## Trigger / Detection
+
+Nuxt 3 Repo:
+- `nuxt.config.ts` mit `ssr: true` (Default)
+- `package.json` enthaelt `nuxt`
+- `composables/`, `plugins/`, `server/` Top-Level Folders
+- `useFetch`, `useState`, `useNuxtApp` in Components
+
+Vue-only Repo:
+- `vite.config.ts` + `vue` Dependency (kein nuxt)
+- `index.html` als Entry mit `<div id="app">`
+- `main.ts` mit `createApp`
+
+Hydration-Issue: Nuxt rendered HTML serverseitig + hydratiert clientseitig. Tracker-Calls in `setup()` feuern auf BEIDEN Seiten = Daten doppelt + Tracker fuer NICHT-eingewilligte Users serverseitig geladen.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+Nuxt-Default:
+- `setup()` laeuft auf Server UND Client → fetch-Aufrufe doppelt
+- `process.client` / `import.meta.client` Check fehlt oft → SSR-Crash bei `localStorage`-Access
+- Tracker im Default-Layout `app.vue` laed ueber `<Head>` → vor jeder Banner-Logik
+- Cookies werden vom Server ausgelesen ohne Consent-Check
+
+Vue-only:
+- Kein SSR, daher kein Hydration-Problem, ABER kein SEO ohne Pre-Rendering
+- Tracker in `main.ts` startet bevor Banner-Komponente mounted
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Tracker in Nuxt-Layout `<Head>` | § 25 TDDDG | KRITISCH | `useHead` nur nach `consent:granted` Event |
+| `localStorage` in `setup()` ohne Client-Check | DSGVO Art. 25 | HOCH | `if (import.meta.client)` Guard |
+| Server-Side Cookie-Read ohne Consent | § 25 TDDDG | KRITISCH | `useCookie` mit Consent-Pruefung |
+| Hydration-Mismatch zeigt Banner kurz | UX / Vertrauen | MITTEL | `v-if="mounted"` + `useState('mounted', () => false)` |
+| Drittland-CDN fuer Vue-Vendor-Bundle | Art. 44 DSGVO | HOCH | Self-host Bundle, EU-CDN |
+
+## Code-Pattern (sanitized)
+
+### Nuxt 3 Pattern
+
+```typescript
+// File: plugins/consent.client.ts (Pflicht: .client.ts Suffix → nur Client)
+import { defineNuxtPlugin } from '#app';
+
+export default defineNuxtPlugin(() => {
+  const STORAGE_KEY = 'cookie-consent';
+  const raw = localStorage.getItem(STORAGE_KEY);
+  if (!raw) return;
+  try {
+    const consent = JSON.parse(raw);
+    if (consent.analytics) {
+      // Lazy-Load Tracker-Modul erst hier
+      import('~/utils/analytics').then(m => m.init());
+    }
+  } catch {
+    /* ignore */
+  }
+});
+```
+
+```vue
+<!-- File: components/CookieBanner.vue -->
+<script setup lang="ts">
+const mounted = useState('cookie-banner-mounted', () => false);
+const visible = useState('cookie-banner-visible', () => false);
+
+onMounted(() => {
+  mounted.value = true;
+  if (!localStorage.getItem('cookie-consent')) {
+    visible.value = true;
+  }
+});
+
+function persist(consent: { analytics: boolean; marketing: boolean }) {
+  const final = { necessary: true, ...consent, version: '1.0', timestamp: new Date().toISOString() };
+  localStorage.setItem('cookie-consent', JSON.stringify(final));
+  visible.value = false;
+  if (consent.analytics) import('~/utils/analytics').then(m => m.init());
+}
+</script>
+
+<template>
+  <ClientOnly>
+    <Teleport to="body">
+      <aside v-if="mounted && visible" role="dialog" class="cookie-banner">
+        <p>Cookie-Hinweis-Text. <NuxtLink to="/datenschutz">Datenschutz</NuxtLink></p>
+        <button @click="persist({ analytics: false, marketing: false })">Nur Notwendige</button>
+        <button @click="persist({ analytics: true, marketing: true })">Alle akzeptieren</button>
+      </aside>
+    </Teleport>
+  </ClientOnly>
+</template>
+```
+
+```typescript
+// File: nuxt.config.ts
+export default defineNuxtConfig({
+  ssr: true,
+  app: {
+    head: {
+      htmlAttrs: { lang: 'de' },
+      // KEINE Tracker-Scripts hier — bleiben aussen
+    },
+  },
+  routeRules: {
+    '/api/track/**': { cors: false },  // Same-Origin enforced
+  },
+});
+```
+
+### Vue-only Pattern (kein SSR)
+
+```typescript
+// File: src/main.ts
+import { createApp } from 'vue';
+import App from './App.vue';
+
+// KEIN Tracker-Init hier
+const app = createApp(App);
+
+window.addEventListener('consent:granted', async (e: any) => {
+  if (e.detail?.analytics) {
+    const m = await import('./trackers/analytics');
+    m.init();
+  }
+});
+
+app.mount('#app');
+```
+
+## AVV / DPA
+
+Nuxt SSR + Vercel/Netlify Edge:
+- SSR-Function-Region MUSS auf EU gepinnt sein (`vercel.json` `regions: ['fra1']`)
+- AVV mit Hosting-Provider Pflicht
+- Bei Nitro-Self-Host: keine zusaetzliche AVV, aber Hosting-AVV bleibt
+
+Vue-only Static:
+- Hosting-AVV
+- Optional: Form-Service / Backend-API (separate AVV)
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Server-Side Rendering und Hosting
+
+Diese Webseite verwendet Server-Side Rendering (SSR) bei Nuxt 3. Initiale
+HTML-Generierung findet auf <placeholder-hosting-provider>-Servern in der
+Region <placeholder-eu-region> statt.
+
+**Verarbeitete Daten beim Initial-Render:**
+- IP-Adresse (anonymisiert auf /24 in Server-Logs)
+- User-Agent
+- Sprach-Header (`Accept-Language`)
+- Referrer (ohne Query-String)
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an
+sicherem Webseitenbetrieb).
+**Speicherdauer Logs:** 14 Tage, danach Loeschung.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. SSR-HTML enthaelt KEINEN Tracker-Script
+curl -sS https://<placeholder-domain>/ | grep -ic "<script[^>]*analytics\|gtag\|fbq"
+# Erwartung: 0
+
+# 2. Banner nicht im initial SSR-HTML (vermeidet Flash)
+curl -sS https://<placeholder-domain>/ | grep -ic "cookie-banner"
+# Erwartung: 0 (wird via ClientOnly nachgeladen)
+
+# 3. Region-Check (Nuxt SSR Edge)
+curl -sI https://<placeholder-domain>/ | grep -i "x-vercel-id\|server"
+# Erwartung: fra1 / cdg1 / ams1 etc. (EU-Region)
+
+# 4. Hydration ohne Mismatch
+# Browser-Console: kein Vue-Warning "[Vue warn]: Hydration mismatch"
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `ssr-data-leak-checker.ts`, `tracking-scan.ts`, `region-pinning-checker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 44 (Drittland), § 25 TDDDG
+- BGH-Rechtsprechung: `references/bgh-urteile.md`
+- EDPB: `references/eu-edpb-guidelines.md` (Schrems II Folgen)
+- Audit-Pattern: `references/audit-patterns.md` Phase 3 (Drittland-Audit)