npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/commands/audit.md ADDED Viewed

@@ -0,0 +1,193 @@
+---
+name: anwalt:audit
+description: Vollstaendiger 5-Persona-Compliance-Audit der aktuellen Codebase / Website / Vertraege. Loads practice-profile (falls vorhanden) + KB + executes Hunter+Challenger+Synthesizer+Devil's-Advocate+Live-Probe sweep. Output: BRUTALER-AUDIT-<YYYY-MM-DD>.md mit findings (%-Wahrscheinlichkeit + EUR-Range + Az.-Beleg + Mitigation-Code).
+allowed-tools: Read, Write, Edit, Glob, Grep, Bash, WebFetch
+---
+# /anwalt:audit — 5-Persona-Compliance-Audit
+> Triggert den vollstaendigen brutaler-anwalt-Workflow. Output ist ein
+> File `audits/BRUTALER-AUDIT-YYYY-MM-DD.md` mit Findings + PostWrite-Hook-
+> validierter Disclaimer-Block + Az.-Provenance-Pflicht.
+---
+## Pre-Audit-Checks (HARD-CONSTRAINT)
+Bevor Audit startet, verifizieren:
+1. **Reference-State**: SessionStart-Hook hat `references/INDEX.md` injiziert?
+   - Wenn nein → manueller `Read references/INDEX.md` zuerst.
+2. **Practice-Profile**: existiert `.brutaler-anwalt/profile.md`?
+   - Wenn ja → laden, ueberspringt Re-Discovery-Phase.
+   - Wenn nein → User darauf hinweisen, `/anwalt:cold-start` zuerst empfehlen (spart 10 Min).
+   - Wenn User trotzdem direkt-audit will: minimale Auto-Detection (package.json, README.md, app-Routes).
+3. **AEGIS-Integration**: existiert `aegis.config.json` oder `src/scanner/`?
+   - Wenn ja → AEGIS-Scanner-Output via `aegis scan --json` zuerst, dann Findings in Audit aufnehmen.
+   - Wenn nein → ueberspringen, weiter mit static-analysis-Pattern.
+4. **Audit-Patterns laden**: `references/audit-patterns.md` IMMER laden (V4-Pattern-Methodik).
+---
+## 5-Persona-Workflow
+### Phase 1 — HUNTER (Surface-Sweep)
+Systematisch alle Audit-Surfaces durchgehen. Pro Surface:
+- Pattern aus `references/audit-patterns.md` anwenden
+- Treffer als Finding-Kandidat notieren (NICHT als Final-Finding)
+Pflicht-Surfaces (aus SKILL.md):
+1. Header-Audit (HSTS/CSP/Referrer-Policy/Permissions-Policy)
+2. HTML-Live-Probe (Cookie-Banner/Mixed-Content/Public-Static-Files)
+3. Impressum-Audit (§ 5 DDG)
+4. DSE-Audit (DSGVO Art. 13, Drittland, AVV, Drift-Styles 1+2+3+4)
+5. Cookie-/Consent-Audit (§ 25 TDDDG)
+6. Branchen-Layer (per profile.md ODER per detection)
+7. CSP-Code-Cross-Check (3-Surface-Pattern: Repo + CSP-Header + Public-Text)
+8. UGC-PII-Audit (Public-Profile / Marketplace / Lost-Found)
+9. AGB B2C (Pflicht-Klauseln-Komplettliste)
+10. BFSG (B2C E-Commerce ab 28.06.2025)
+11. GoBD/AO (Aufbewahrungs-Cron + Compliance-Frist 6/10 Jahre)
+12. Auth-Flow (bcrypt-cost, MFA, Audit-Log, Session-Cookie-Attribute)
+13. Newsletter-DOI (Confirmation-Token, Unsubscribe-Link)
+14. AI-Act-Compliance (Risk-Class + Transparenz Art 50 + GPAI Art 51)
+15. EUDR-Compliance (wenn Coffee/Soy/Beef/Wood/Cocoa/Rubber/Palm)
+16. Data-Act-Switching-Klauseln (wenn IoT oder Cloud-Provider)
+17. CRA-Pflichten (wenn „Produkt mit digitalen Elementen", Stichtag 11.12.2027)
+18. EHDS-Compliance (wenn Health/MedTech/Heilberuf/Spa-Behandlung)
+### Phase 2 — CHALLENGER (False-Positive-Filter)
+Jedes Hunter-Finding gegen-pruefen:
+- Ist das Pattern wirklich ein Verstoss, oder Branche-typischer Edge-Case?
+- Gibt es eine `legitimate-interest`-Begruendung nach Art. 6(1)(f) DSGVO?
+- Ist die Branche-Sonderregel (z.B. Heilberuf-Berufsordnung) erfuellt?
+- Existiert eine Einwilligung im Backend die das Pattern legitim macht?
+False-Positives als „discarded" markieren mit Begruendung. NICHT loeschen — Audit-Trail.
+### Phase 3 — SYNTHESIZER (Schadens-Diagnose)
+Verbleibende Findings konsolidieren. Pro Finding:
+- **%-Wahrscheinlichkeit** (P) — Audit-Patterns-Formel aus `references/audit-patterns.md`
+- **EUR-Range** — aus `references/streitwerte.json` (wenn v4.4.0+) ODER `references/bgh-urteile.md` Schadens-Anker
+- **Az.-Beleg** — mindestens 1 BGH/EuGH/OLG-Urteil mit Source-URL (SKILL.md §5 Az.-Provenance-Pflicht)
+- **Mitigation-Code-Snippet** — fuer Vibecoder-Tauglichkeit
+- **Severity** — LOW (< 5k EUR) / MED (5-50k) / HIGH (50-500k) / CRIT (> 500k)
+### Phase 4 — DEVIL'S-ADVOCATE (Counter-Audit)
+Stelle dich auf die Seite des Abmahn-Anwalts:
+- Welcher der Findings ist am leichtesten zu beweisen?
+- Welcher trifft das Pattern eines bekannten DE-Abmahn-Akteurs (Verbraucherzentrale, Gravenreuth, Wettbewerbszentrale, etc.)?
+- Welcher trifft eine aktuelle Welle (Google-Fonts-Welle 2022-2023, Cookie-Banner-Welle 2023-2024, Werbe-E-Mail-Welle 2024-2025)?
+Diese werden auf SEVERITY+1 hochgestuft.
+### Phase 5 — LIVE-PROBE (Empirical Verification)
+Wenn moeglich: tatsaechliche Verify-Commands ausfuehren (`curl`, `playwright`, AEGIS-Scanner).
+- Header-Audit: `curl -sI <url>` → CSP/HSTS/Referrer-Policy check
+- Cookie-Banner: Playwright → page.cookies() vor Consent
+- Drittland-Probe: dig + DNS-Lookup auf Default-CDNs
+Live-Probe-Ergebnisse als Beweis-Artefakt im Finding citieren.
+---
+## Output-Format
+Schreibe `audits/BRUTALER-AUDIT-<YYYY-MM-DD>.md`:
+```markdown
+# BRUTALER-AUDIT — <Projekt-Name> — <YYYY-MM-DD>
+> **Haftungsausschluss**: Diese Analyse ist keine Rechtsberatung im Sinne von
+> § 2 RDG (BGH I ZR 113/20 Smartlaw, 09.09.2021) und ersetzt keinen
+> zugelassenen Rechtsanwalt fuer IT-/Datenschutzrecht. Az.-Belege im Output
+> muessen vor Verwendung in Schriftsaetzen anwaltlich gepruefte Primaerquellen
+> sein.
+## Audit-Metadaten
+| Feld | Wert |
+|---|---|
+| Audit-Datum | <ISO> |
+| Skill-Version | brutaler-anwalt v4.X.X |
+| Practice-Profile | <pfad oder "kein profile, auto-detection"> |
+| AEGIS-Integration | <ja/nein> |
+| Personas durchlaufen | Hunter ✓ Challenger ✓ Synthesizer ✓ Devil's-Advocate ✓ Live-Probe ✓ |
+| Anzahl Findings | <N> (CRIT: <X> / HIGH: <Y> / MED: <Z> / LOW: <W>) |
+| Gesamt-EUR-Range | <min>-<max> EUR worst-case |
+## Finding F-001 — <Titel>
+**Severity**: HIGH
+**Wahrscheinlichkeit**: 75%
+**EUR-Range**: 8.000-25.000 EUR
+**Az.-Beleg**: BGH I ZR 113/20 [primary-source-verified] https://juris.bundesgerichtshof.de/...
+### Pattern
+<Beschreibung des Verstosses>
+### Evidence
+<Code-Snippet / HTTP-Header / Screenshot-Pfad>
+### Mitigation (Vibecoder-tauglich)
+```typescript
+// Konkretes Fix-Code-Snippet
+```
+### Abmahn-Risiko-Indikator
+<aktuelle Welle / bekannter Akteur / Branchen-Risiko>
+---
+## Finding F-002 — ...
+...
+## Devil's-Advocate Hot-List
+Top-3-Findings die ein Abmahn-Anwalt SOFORT angreifen wuerde:
+1. F-XXX — <kurze Begruendung>
+2. F-YYY — <kurze Begruendung>
+3. F-ZZZ — <kurze Begruendung>
+## Empfohlene Aktionen (priorisiert)
+1. **Innerhalb 24h**: <CRIT-Findings>
+2. **Innerhalb 7 Tagen**: <HIGH-Findings>
+3. **Innerhalb 30 Tagen**: <MED-Findings>
+4. **Im naechsten Sprint**: <LOW-Findings>
+## False-Positives (Audit-Trail)
+<Findings die Challenger discarded hat, mit Begruendung>
+---
+**Audit generiert von brutaler-anwalt v4.X.X. PostWrite-Hook hat
+Disclaimer-Block + Finding-ID-Uniqueness + Az.-Provenance verifiziert.**
+```
+---
+## Post-Audit
+Nach dem Schreiben:
+1. PostWrite-Hook validiert automatisch (Exit 2 wenn Fehler).
+2. User-Hint: bei HIGH/CRIT-Findings — `/anwalt:simulate` fuer Abmahn-Schadens-Range-Verfeinerung.
+3. User-Hint: bei Az.-Verdacht — `/anwalt:az-verify <Az>` fuer Primary-Source-Cross-Check.
+---
+## Halt-Conditions
+- Wenn weniger als 3 Reference-Files geladen: STOP, lade audit-patterns.md + dsgvo.md + bgh-urteile.md zuerst.
+- Wenn Practice-Profile fehlt + User-Stack-Frage unbeantwortet: STOP, frage Branche + Zielgruppe.
+- Wenn AEGIS-Scanner-Output existiert aber nicht gelesen: STOP, integriere AEGIS-Findings.

package/skills/compliance/aegis-native/brutaler-anwalt/commands/avv-redline.md ADDED Viewed

@@ -0,0 +1,246 @@
+---
+name: anwalt:avv-redline
+description: AVV-Pruefung gegen Art. 28 DSGVO + EU-SCC (VO 2021/914) + Schrems-II-Drittland-Risiko. Input AVV-PDF / AVV-Text / AVV-URL. Output Redline-Vorschlag (markdown) + Risk-Score + Pflicht-Klauseln-Checkliste. Zweiter Killer-Move neben az-verify.
+allowed-tools: Read, Write, Edit, Bash, WebFetch, Grep
+---
+# /anwalt:avv-redline — AVV-Pruefung + Redline
+> Pruefe einen AVV (Auftragsverarbeitungs-Vertrag) gegen die Pflicht-Inhalte
+> aus Art. 28 DSGVO + EU-SCC + Schrems-II-Risk-Indikatoren. Liefert
+> Redline-Vorschlag + Risk-Score + bessere-Klausel-Vorlage.
+---
+## Input-Modes
+### Mode A — AVV-PDF im Projekt
+```
+/anwalt:avv-redline path=docs/contracts/avv-cloudprovider.pdf
+```
+### Mode B — AVV-URL (von Provider hosted)
+```
+/anwalt:avv-redline url=https://provider.de/dpa.pdf
+```
+### Mode C — AVV-Text inline
+```
+/anwalt:avv-redline text="<copy-paste vom AVV>"
+```
+---
+## Pflicht-Klauseln-Checkliste (Art. 28 DSGVO)
+Jeder AVV MUSS folgende Inhalte enthalten:
+### Art. 28(3) Pflicht-Klauseln
+- [ ] **a) Verarbeitung nur auf dokumentierte Weisung** des Verantwortlichen
+- [ ] **b) Vertraulichkeitsverpflichtung** aller mit den Daten befassten Personen
+- [ ] **c) Technische und organisatorische Massnahmen** nach Art. 32 (TOMs-Anlage)
+- [ ] **d) Sub-Verarbeitung** nur mit vorheriger schriftlicher Genehmigung (allgemein oder spezifisch)
+- [ ] **e) Unterstuetzung** des Verantwortlichen bei Betroffenenrechten (Art. 12-23)
+- [ ] **f) Unterstuetzung** bei Datenpannen (Art. 33), DSFA (Art. 35), vorherige Konsultation (Art. 36)
+- [ ] **g) Loeschung oder Rueckgabe** aller Daten nach Vertragsende (Wahl beim Verantwortlichen)
+- [ ] **h) Audit-Recht** des Verantwortlichen (eigene Pruefung oder beauftragter Pruefer)
+- [ ] **i) Information** bei Weisungsverstoss
+### EU-SCC-Pflicht (VO 2021/914) bei Drittland
+Wenn Provider in Drittland sitzt (USA, UK, Schweiz, Indien, etc.):
+- [ ] **SCC-Modul** korrekt gewaehlt (Modul 1-4 je nach Konstellation)
+- [ ] **Anhang I** korrekt befuellt (Parteien, Dauer, Verarbeitung, Datenkategorien, Betroffenen)
+- [ ] **Anhang II** TOMs spezifisch (nicht generisch)
+- [ ] **Anhang III** Liste Sub-Unter-Auftragsverarbeiter (bei Modul 2/3)
+- [ ] **TIA** (Transfer Impact Assessment) durchgefuehrt + dokumentiert
+- [ ] **Schrems-II-Klauseln**: Zugriff durch oeffentliche Stellen im Drittland addressiert
+- [ ] Bei US-Provider: **EU-US Data Privacy Framework**-Zertifizierung oder Fallback-SCC
+### Schrems-II-Risiko-Indikatoren (rot-flag)
+Pruefe AVV auf:
+- 🔴 **CLOUD-Act-Klausel** (US-Government-Zugriff): muss durch zusaetzliche Massnahmen
+   adressiert sein (Verschluesselung at-rest, Schluessel beim EU-Kunden)
+- 🔴 **FISA-702-Risiko**: bei US-Provider Pflicht zur TIA-Doku
+- 🔴 **Schiedsklausel** im US-Recht: problematisch, EU-Gerichtsstand-Klausel pflicht
+- 🔴 **Datenexport-Verweigerung**: AVV muss Loeschung/Rueckgabe nach Vertragsende garantieren
+- 🟠 **"Reasonable security measures"**: zu vage, muss spezifisch sein
+---
+## Output-Struktur
+Erzeuge `avv-redline/AVV-REDLINE-<YYYY-MM-DD>-<provider>.md`:
+```markdown
+# AVV-Redline — <Provider> — <YYYY-MM-DD>
+> **Haftungsausschluss**: Diese Pruefung ersetzt keine anwaltliche Beratung
+> i.S.d. § 2 RDG (BGH I ZR 113/20 Smartlaw). Vor Vertragsabschluss
+> rechtsfachliche Pruefung anfordern.
+## AVV-Metadaten
+| Feld | Wert |
+|---|---|
+| Provider | <Name> |
+| AVV-Version / Stand | <Datum> |
+| Provider-Sitz | <Land> |
+| Drittland? | <Ja / Nein> |
+| EU-Repraesentant (falls Drittland) | <Name + Adresse> |
+| Verarbeitung | <Beschreibung> |
+## Pflicht-Klauseln-Status
+| Pflicht (Art. 28(3)) | Status | Klausel-Nr. im AVV | Anmerkung |
+|---|---|---|---|
+| a) Weisungsverarbeitung | ✅ ok | § 3.1 | konform |
+| b) Vertraulichkeit | ⚠️ teils | § 4 | "reasonable confidentiality" zu vage |
+| c) TOMs | ❌ fehlt | — | TOMs-Anhang fehlt komplett |
+| d) Sub-Verarbeitung | ✅ ok | § 7 | spezifische Genehmigung |
+| e) Unterstuetzung Art. 12-23 | ⚠️ teils | § 9 | Nur Auskunft, nicht Loeschung |
+| f) Datenpanne | ❌ fehlt | — | keine 72h-Notification-Klausel |
+| g) Loeschung/Rueckgabe | ✅ ok | § 11 | konform |
+| h) Audit-Recht | ⚠️ teils | § 12 | nur per Voranmeldung 30d — zu eng |
+| i) Weisungsverstoss-Info | ❌ fehlt | — | keine Klausel |
+## Schrems-II-Risiko-Indikatoren
+| Risiko | Status | AVV-Klausel | Empfehlung |
+|---|---|---|---|
+| CLOUD-Act-Zugriff | 🔴 HOCH | n/a | Verschluesselung-at-rest mit Schluesselverwaltung in EU |
+| FISA-702 | 🔴 HOCH | n/a | TIA dokumentieren, zusaetzliche Massnahmen |
+| EU-Gerichtsstand | 🟠 MITTEL | § 18 | Klausel umformulieren auf EU-Gericht |
+## Risk-Score
+| Metrik | Wert |
+|---|---|
+| Pflicht-Klauseln vollstaendig | 4/9 (44%) |
+| Schrems-II-Risiken | 3 (2 HOCH, 1 MITTEL) |
+| **Gesamtrisiko** | **HIGH — AVV NICHT abzeichnen ohne Nachverhandlung** |
+## Redline-Vorschlag
+### Klausel zu c) TOMs-Anhang (FEHLT, neu einfuegen)
+**Vorschlag:**
+```
+Anhang II — Technische und organisatorische Massnahmen
+Der Auftragnehmer ergreift folgende Sicherheitsmassnahmen gemaess Art. 32 DSGVO:
+1. Zugangskontrolle
+   - Authentifizierung mit Multi-Faktor (TOTP / WebAuthn)
+   - RBAC / ABAC fuer alle Backend-Endpunkte
+   - Audit-Log aller Admin-Zugriffe, 12 Monate Aufbewahrung
+2. Zugriffskontrolle
+   - Berechtigungs-Konzept mit Need-to-Know-Prinzip
+   - Datentrennung Mandanten (RLS / Tenant-Isolation)
+   - Verschluesselung at-rest (AES-256-GCM, Schluessel KMS-managed)
+3. Transport-Verschluesselung
+   - TLS 1.3 Pflicht, alte TLS-Versionen deaktiviert
+   - HSTS mit Preload + Subdomains
+   - Certificate-Pinning fuer interne APIs
+4. Verfuegbarkeit + Wiederherstellbarkeit
+   - Backup taeglich, 30 Tage Aufbewahrung
+   - RPO < 4h, RTO < 24h
+   - DR-Tests jaehrlich, dokumentiert
+5. Trennungsgebot
+   - Test- und Produktionssysteme strikt getrennt
+   - Keine Live-Daten in Test
+   - Sandboxed Customer-Tenants
+6. Loeschungs-Konzept
+   - Automatische Loeschung gemaess Retention-Policy
+   - Loeschungs-Bestaetigung an Verantwortlichen
+   - Sub-Verarbeiter-Loeschungs-Pflicht durchgereicht
+Diese Massnahmen werden regelmaessig (mindestens jaehrlich) ueberprueft und
+ggf. an den Stand der Technik angepasst.
+```
+### Klausel zu f) Datenpanne (FEHLT)
+**Vorschlag:**
+```
+§ X — Datenpannen-Meldung (Art. 33 DSGVO)
+Der Auftragnehmer informiert den Verantwortlichen unverzueglich (in jedem Fall
+binnen 48 Stunden) ueber jede Datenpanne i.S.d. Art. 4 Nr. 12 DSGVO, die
+personenbezogene Daten des Verantwortlichen betrifft. Die Meldung enthaelt
+mindestens:
+a) Art der Datenpanne (Art. 33(3)(a))
+b) Betroffene Datenkategorien + ungefaehre Anzahl Betroffener
+c) Wahrscheinliche Folgen
+d) Ergriffene oder vorgeschlagene Massnahmen zur Eindaemmung
+Der Auftragnehmer unterstuetzt den Verantwortlichen bei der Erfuellung der
+Meldepflicht nach Art. 33 + 34 DSGVO und stellt alle erforderlichen
+Informationen zur Verfuegung.
+```
+### Klausel zu h) Audit-Recht (zu eng — umformulieren)
+**Original:**
+```
+§ 12 Audit. Der Verantwortliche kann auf eigene Kosten und nach
+vorheriger Anmeldung von mindestens 30 Tagen ein Audit durchfuehren.
+```
+**Vorschlag (Redline):**
+```
+§ 12 Audit. Der Verantwortliche oder ein von ihm beauftragter unabhaengiger
+Pruefer kann nach angemessener Voranmeldung (in der Regel 14 Tage, bei
+begruendetem Verdacht auf Verstoesse auch kurzfristiger) ein Audit
+durchfuehren. Der Auftragnehmer stellt alle erforderlichen Informationen
+unentgeltlich zur Verfuegung. Bei begruendetem Verdacht entfaellt die
+Voranmeldungsfrist; in diesem Fall steht dem Verantwortlichen das Recht
+zur sofortigen Pruefung zu.
+Anstelle des Audits kann der Auftragnehmer aktuelle SOC-2-Typ-2- oder
+ISO-27001-Berichte einer unabhaengigen Pruefstelle vorlegen, sofern der
+Verantwortliche damit einverstanden ist.
+```
+---
+## Empfohlene Aktion
+🚫 **AVV nicht abzeichnen.** Vorher nachverhandeln:
+1. TOMs-Anhang verlangen (s.o. Vorschlag)
+2. Datenpannen-Klausel einfuegen (s.o.)
+3. Audit-Klausel umformulieren (s.o.)
+4. TIA fuer Drittland-Transfer durchfuehren + als Anhang IV anfuegen
+Bei Verweigerung des Providers: alternative Provider suchen oder
+Drittland-Transfer ueber zusaetzliche Massnahmen (Verschluesselung mit
+EU-Schluessel) ueber Schrems-II-Konstellation hinaus absichern.
+```
+---
+## Halt-Conditions
+- AVV-PDF nicht lesbar: STOP, OCR-Output oder Text-Input verlangen.
+- Provider-Land nicht klar: STOP, Frage stellen.
+- Bei Drittland ohne SCC: SOFORT 🔴-Flag setzen, niemals als „akzeptabel" labeln.
+---
+## Disclaimer
+Diese Pruefung ist eine **technisch-strukturierte Klauseln-Pruefung**. Die
+Endpruefung MUSS durch IT-Recht-Fachanwalt vor Vertragsabschluss erfolgen.
+§ 2 RDG bleibt einschlaegig.

package/skills/compliance/aegis-native/brutaler-anwalt/commands/az-verify.md ADDED Viewed

@@ -0,0 +1,155 @@
+---
+name: anwalt:az-verify
+description: Cross-Check eines Aktenzeichens gegen drei Quellen — (1) lokal in references/bgh-urteile.md, (2) WebFetch auf Tier-1-Primaerquelle, (3) Halluzinations-Pattern-Check (Placeholder-Az. 1234/22 / 9999/22 / Jahr-Inkonsistenz). Output verified / unverified / suspicious / hallucination mit Begruendungs-Trail. KILLER-FEATURE — niemand sonst hat das.
+allowed-tools: Read, Grep, WebFetch, WebSearch, Bash
+---
+# /anwalt:az-verify — Aktenzeichen-Provenance-Check
+> Verifiziere ein konkretes Az. nach SKILL.md §5 Az.-Provenance-Pflicht in
+> einem Single-Step. Output: 4-stufiges Verdict + Begruendungs-Trail.
+> Pflicht-Verwendung VOR jeder Az.-Citation in Mandanten-Schriftsaetzen.
+---
+## Input-Format
+Beliebige der folgenden Formate akzeptiert:
+```
+/anwalt:az-verify BGH I ZR 113/20
+/anwalt:az-verify EuGH C-673/17
+/anwalt:az-verify BVerfG 1 BvR 1/22
+/anwalt:az-verify OLG Hamm 11 U 88/22
+/anwalt:az-verify LG Muenchen 3 O 17493/20
+```
+Mehrere Az. pro Aufruf:
+```
+/anwalt:az-verify BGH I ZR 113/20, EuGH C-673/17, BGH VIII ZR 90/22
+```
+---
+## 3-Stufen-Verification
+### Stufe 1 — Lokal-Check (~30s)
+```bash
+grep -n "<AZ>" ~/.claude/skills/brutaler-anwalt/references/bgh-urteile.md
+```
+Wenn Treffer mit Source-URL: → STATUS = **VERIFIED-LOCAL**
+Wenn Treffer ohne Source: → STATUS = **PARTIAL-LOCAL** (continue Stufe 2)
+Wenn kein Treffer: → STATUS = **NOT-IN-DB** (continue Stufe 2)
+### Stufe 2 — Primary-Source-WebFetch (~60s)
+Pruefe in dieser Reihenfolge:
+1. **BGH-Az.** (z.B. `BGH I ZR 113/20`):
+   - WebFetch: `https://juris.bundesgerichtshof.de/...` mit Az.-Suchparameter
+   - Fallback: `https://dejure.org/dienste/lex/BGB/...`
+2. **EuGH-Az.** (z.B. `C-673/17`):
+   - WebFetch: `https://curia.europa.eu/juris/liste.jsf?num=<AZ>&language=de`
+3. **BVerfG-Az.** (z.B. `1 BvR 1/22`):
+   - WebFetch: `https://www.bundesverfassungsgericht.de/...`
+4. **OLG-Az.** (z.B. `OLG Hamm 11 U 88/22`):
+   - WebFetch: `https://nrwe.justiz.nrw.de/...` (fuer OLG-NRW)
+   - Fallback: `https://openjur.de/...`
+5. **LG-Az.** (z.B. `LG Muenchen 3 O 17493/20`):
+   - WebFetch: `https://medien-internet-und-recht.de/...`
+   - Fallback: `https://openjur.de/...`
+Bei Treffer mit Az.-Volltext-Match: → STATUS = **PRIMARY-SOURCE-VERIFIED**
+Bei Treffer mit Az.-Sachverhalt-Match aber ohne explizites Az.: → SUSPICIOUS (siehe v3.3-Lesson: WebSearch-Snippet mit „aehnlichem Sachverhalt" ist NICHT ausreichend)
+Bei keinem Treffer: → STATUS = **UNVERIFIED**
+### Stufe 3 — Halluzinations-Pattern-Check (~10s)
+Pruefe das Az. gegen 4 Indikatoren:
+```python
+suspicious_patterns = [
+    r"\b1234/\d{2}\b",   # Placeholder
+    r"\b9999/\d{2}\b",   # Placeholder
+    r"\b1111/\d{2}\b",   # Placeholder
+    r"\b\d{4}/22\b",     # Round-number suspicion fuer 2022er-Filings
+]
+```
+Plus: Az.-Jahr vs. behauptetes Entscheidungs-Jahr divergiert > 3 Jahre?
+(Az.-Vergabe in Eingangs-Jahr, Urteil typ. 1-3 Jahre spaeter — > 3 Jahre Drift = Verdacht)
+Bei Match: → STATUS = **HALLUCINATION-SUSPECT** (auch wenn Stufe 1/2 grün — manuell verifizieren!)
+---
+## Output-Format
+```markdown
+# Az.-Verification — <YYYY-MM-DD HH:MM>
+## BGH I ZR 113/20
+| Stufe | Ergebnis | Detail |
+|---|---|---|
+| 1. Lokal-DB | ✅ VERIFIED-LOCAL | `references/bgh-urteile.md:42` mit Source-URL |
+| 2. Primary-Source | ✅ PRIMARY-SOURCE-VERIFIED | juris.bundesgerichtshof.de Treffer mit Volltext |
+| 3. Halluzinations-Check | ✅ CLEAN | Kein Placeholder-Pattern, Jahre konsistent |
+**FINAL-VERDICT**: ✅ VERIFIED — bedenkenlos zitierbar.
+**Source-URL**: https://juris.bundesgerichtshof.de/cgi-bin/...
+**Sachverhalt**: Smartlaw — RDG-§-2 zu automatisierten Vertragsgeneratoren
+**Entscheidungs-Datum**: 09.09.2021
+---
+## C-9999/22 (hypothetisches Beispiel)
+| Stufe | Ergebnis | Detail |
+|---|---|---|
+| 1. Lokal-DB | ❌ NOT-IN-DB | Kein Treffer in references/bgh-urteile.md |
+| 2. Primary-Source | ❌ UNVERIFIED | WebFetch curia.europa.eu/juris/liste.jsf?num=C-9999/22 — keine Resultate |
+| 3. Halluzinations-Check | 🚨 HALLUCINATION-SUSPECT | Placeholder-Pattern `9999/\d{2}` |
+**FINAL-VERDICT**: 🚨 HALLUCINATION-SUSPECT — NICHT zitieren. Skill-Output dass diese Az. enthielt
+muss korrigiert werden. PostWrite-Hook haette das blockiert.
+**Empfohlene Aktion**: Az. aus Output entfernen, stattdessen `§-Zitat ohne Az.` verwenden, oder
+`[ungeprueft, manuelle Verifikation vor Schriftsatz erforderlich]`-Tag.
+```
+---
+## Halt-Conditions
+- Wenn Az.-Format nicht erkennbar (kein BGH/EuGH/OLG/LG/BVerfG-Prefix): STOP, User-Hint.
+- Wenn WebFetch fehlschlaegt (Rate-Limit / Network-Error): STATUS = **WEBFETCH-FAILED**, Stufe 1 + 3 trotzdem reporten.
+- Wenn > 10 Az. in einem Aufruf: STOP, bitten User Batch zu splitten.
+---
+## Side-Effect bei VERIFIED + nicht-in-DB
+Wenn Az. via Stufe 2 als PRIMARY-SOURCE-VERIFIED bestaetigt aber nicht in `references/bgh-urteile.md`:
+→ **Vorschlag** (NICHT Auto-Apply): „Soll ich diese Az. zur DB hinzufuegen? (yes/no)"
+→ Bei yes: Append-Entry zu `references/bgh-urteile.md` mit Source-URL + Sachverhalt-Kurzfassung.
+→ Vergroessert die Local-Az.-DB ueber Audits hinweg.
+---
+## Disclaimer
+Selbst „VERIFIED" ersetzt KEINE anwaltliche Pruefung. Az.-Volltext kann sich
+durch Berichtigungs-Beschluss aendern; Tenor kann unterschiedlich interpretiert
+werden. Diese Verification ist eine **technisch-indikative Existenz-Bestaetigung
++ Halluzinations-Defense**, kein Tenor-Sachverhalts-Endurteil.
+§ 2 RDG bleibt einschlaegig.