@aegis-scan/skills 0.4.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/vue/tracking-pinia-pattern.md

@@ -0,0 +1,211 @@
+---
+license: MIT (snippet)
+provider: Vue 3 + Pinia (Open-Source)
+last-checked: 2026-05-05
+purpose: Pinia-Store fuer Consent-State + Tracker-Gate Pattern mit Subscriber-Watch.
+---
+
+# Vue/Pinia — Tracking-Store (Pattern)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `pinia` in `package.json`
+- `src/stores/*.ts` Pinia-Stores
+- `defineStore('consent', ...)` oder vergleichbar
+- Optional: `pinia-plugin-persistedstate` fuer localStorage-Sync
+
+Pattern: zentraler Store fuer Consent + Tracker-Aktivierung. Komponenten subscriben statt direktem `useConsent`-Composable.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- Pinia-State liegt im Memory → kein Persist ohne Plugin
+- Tracker-SDKs in Components separat initialisiert → mehrfach-Init bei Re-Mount
+- Persist-Plugin schreibt Consent-State, aber auch UI-State unkontrolliert in localStorage
+- `$subscribe` lauscht auf alle Mutations → Tracker triggert bei UI-Klicks (FP)
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Tracker mehrfach initialisiert | Performance / DSGVO Daten-Min | MITTEL | Singleton-Init im Plugin |
+| Persist-Plugin speichert PII unverschluesselt | Art. 32 DSGVO | HOCH | Whitelist `paths: ['consent']` |
+| Subscriber feuert Tracker bei UI-State-Change | DSGVO Art. 5 lit. b Zweckbindung | HOCH | Watcher auf `consent.analytics` only |
+| Missing Tracker-Teardown bei Widerruf | Art. 7 Abs. 3 DSGVO | HOCH | `$reset` + `unloadAnalytics()` |
+| Drittland-Provider unverhandelt | Art. 44 DSGVO | KRITISCH | EU-Provider + AVV |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/stores/consent.ts
+import { defineStore } from 'pinia';
+
+export type Consent = {
+  necessary: true;
+  analytics: boolean;
+  marketing: boolean;
+  timestamp: string | null;
+  version: '1.0';
+};
+
+const defaultConsent: Consent = {
+  necessary: true,
+  analytics: false,
+  marketing: false,
+  timestamp: null,
+  version: '1.0',
+};
+
+export const useConsentStore = defineStore('consent', {
+  state: (): Consent => ({ ...defaultConsent }),
+
+  getters: {
+    hasDecided: (s) => s.timestamp !== null,
+  },
+
+  actions: {
+    grant(partial: Partial<Pick<Consent, 'analytics' | 'marketing'>>) {
+      this.$patch({
+        ...partial,
+        timestamp: new Date().toISOString(),
+      });
+      // Server-side log fuer Nachweispflicht
+      fetch('/api/consent-log', {
+        method: 'POST',
+        headers: { 'Content-Type': 'application/json' },
+        body: JSON.stringify(this.$state),
+      });
+    },
+    revoke() {
+      this.$reset();
+      this.timestamp = new Date().toISOString();
+      // Tracker-Teardown
+      window.dispatchEvent(new CustomEvent('consent:revoked'));
+    },
+  },
+
+  persist: {
+    key: 'cookie-consent',
+    paths: ['necessary', 'analytics', 'marketing', 'timestamp', 'version'],  // Whitelist!
+  },
+});
+```
+
+```typescript
+// File: src/plugins/tracking.ts
+import { useConsentStore } from '@/stores/consent';
+import { watch } from 'vue';
+
+let analyticsLoaded = false;
+
+export function setupTrackingWatchers() {
+  const store = useConsentStore();
+
+  // Watcher feuert NUR bei aenderung von analytics-Flag
+  watch(
+    () => store.analytics,
+    (next) => {
+      if (next && !analyticsLoaded) {
+        loadAnalytics();
+        analyticsLoaded = true;
+      }
+      if (!next && analyticsLoaded) {
+        unloadAnalytics();
+        analyticsLoaded = false;
+      }
+    },
+    { immediate: true }
+  );
+}
+
+function loadAnalytics() {
+  const s = document.createElement('script');
+  s.src = 'https://<placeholder-eu-analytics-host>/script.js';
+  s.async = true;
+  s.dataset.domain = '<placeholder-domain>';
+  document.head.appendChild(s);
+  console.log('[tracking] analytics loaded');
+}
+
+function unloadAnalytics() {
+  document.querySelectorAll('script[data-domain]').forEach(s => s.remove());
+  // Cookies invalidieren
+  document.cookie.split(';').forEach(c => {
+    const name = c.split('=')[0]?.trim();
+    if (name?.startsWith('_pa_') || name?.startsWith('_ga')) {
+      document.cookie = `${name}=; max-age=0; path=/`;
+    }
+  });
+}
+```
+
+```typescript
+// File: src/main.ts
+import { createApp } from 'vue';
+import { createPinia } from 'pinia';
+import piniaPluginPersistedstate from 'pinia-plugin-persistedstate';
+import App from './App.vue';
+import { setupTrackingWatchers } from './plugins/tracking';
+
+const pinia = createPinia();
+pinia.use(piniaPluginPersistedstate);
+
+const app = createApp(App);
+app.use(pinia);
+app.mount('#app');
+
+// Tracking-Watchers nach Mount aufsetzen
+setupTrackingWatchers();
+```
+
+## AVV / DPA
+
+- Hosting-Provider — Art. 28 DSGVO
+- Analytics-Provider (EU-Region) — AVV Pflicht
+- pinia-plugin-persistedstate: schreibt nur in localStorage = kein AVV (Browser-Storage = First-Party)
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Speicherung Ihrer Consent-Entscheidung
+
+Wir speichern Ihre Cookie-Einwilligung in Ihrem Browser-Speicher
+(`localStorage`) unter dem Schluessel `cookie-consent`. Die Speicherung dient
+ausschliesslich der Nachweispflicht (Art. 7 Abs. 1 DSGVO).
+
+**Gespeicherte Daten:**
+- Zeitstempel Ihrer Entscheidung
+- Welche Cookie-Kategorien Sie aktiviert haben
+- Version der Einwilligungs-Vereinbarung
+
+Es findet keine Uebertragung an Dritte statt. Die Daten verbleiben in Ihrem
+Browser. Sie koennen die Speicherung jederzeit ueber die Browser-Einstellungen
+loeschen oder ueber den [Cookie-Einstellungen](#cookie-settings)-Link im Footer.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. localStorage-Key korrekt
+echo "JS in DevTools:"
+echo "  JSON.parse(localStorage.getItem('cookie-consent'))"
+# Erwartung: { necessary: true, analytics: bool, marketing: bool, timestamp: ..., version: "1.0" }
+
+# 2. Tracker-Script erst nach Accept
+# DevTools-Network-Tab vor + nach Accept-Button-Click pruefen
+
+# 3. Revoke-Action entfernt Tracker-Cookies
+# DevTools: localStorage.removeItem('cookie-consent') + reload
+# document.cookie sollte keine _pa_/_ga-Eintraege mehr enthalten
+
+# 4. Pinia Persist nur whitelisted paths
+# DevTools: localStorage.getItem('cookie-consent')
+# Erwartung: nur consent-Felder, keine UI-State-Reste
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `state-leak-checker.ts`, `tracking-scan.ts`, `consent-flow-checker.ts`
+- Skill-Reference: `references/dsgvo.md` § 25 TDDDG, Art. 7 (Nachweispflicht)
+- BGH-Rechtsprechung: `references/bgh-urteile.md` BGH I ZR 7/16
+- Audit-Pattern: `references/audit-patterns.md` Phase 2 (Cookie-Audit), Phase 4 (Widerrufs-Test)

package/skills/compliance/aegis-native/brutaler-anwalt/references/strafrecht-steuer.md

@@ -178,7 +178,7 @@ Wenn die Site Mitarbeiter-Login enthaelt + keine separate Beschaeftigten-Datensc
 ```
 Finding: Datenpanne nicht innerhalb 72 h gemeldet
 - §: Art. 33 DSGVO + § 130 OWiG (Aufsichtspflicht)
-- Az.: OLG Hamm 4 U 75/23 (auch versehentliche Mails sind Datenpannen)
+- Az.: OLG Hamm 11 U 88/22 (20.01.2023) — auch versehentliche Mails sind Datenpannen, 100 EUR Schadensersatz pro Betroffenem
 - Strafrechtlich: § 263 StGB falls vorsaetzliche Verschleierung erkennbar
 - Bussgeld DSGVO: Stufe 1 (Art. 83 Abs. 4)
 - Risiko-Vektor:

package/skills/compliance/aegis-native/brutaler-anwalt/references/streitwerte.json

@@ -0,0 +1,176 @@
+{
+  "_comment": "Strukturierte Streitwert-DB fuer brutaler-anwalt v4.4.0+ Abmahn-Simulation. Jede Verstoss-Klasse hat (a) Base-Range, (b) Az.-Anker mit Source-URL, (c) Aktor-Multiplikatoren, (d) Branchen-Multiplikatoren. Werte basieren auf publizierten BGH/OLG/LG-Urteilen, BfDI/LDI-Bussgeldbescheiden 2020-2025. Disclaimer: indikativ, KEINE Rechtsberatung i.S.d. RDG §2.",
+  "_schema": {
+    "verstoss_klassen": "Objekt mit Verstoss-Slug als Key",
+    "fields_pro_klasse": {
+      "name": "Lesbarer Verstoss-Name (de)",
+      "rechtsgrundlage": "§ / Art. Pflicht-Norm",
+      "streitwert_eur_min": "Untere Schadens-Range-Grenze EUR",
+      "streitwert_eur_max": "Obere Schadens-Range-Grenze EUR",
+      "az_anker": "BGH/EuGH/OLG/LG-Az. als Source-Anker",
+      "az_source_url": "Volltext-Link zur Quelle",
+      "aktor_multiplikatoren": "Faktor je nach Anwalts-Akteur (Standard 1.0, VZB 1.5, WBZ 2.0, Bekannt-Abmahn-RAK 2.5)",
+      "branchen_multiplikatoren": "Faktor je nach Branche (Standard 1.0, Heilberuf/MedTech 1.5)",
+      "schwere_faktoren": "Faktor je nach Severity (LOW 0.5, MED 1.0, HIGH 2.0, CRIT 4.0)",
+      "anwalts_kosten_geschaeftsgebuehr": "1.3 Geschaeftsgebuehr nach RVG bei Standard-Streitwert",
+      "notes": "Kontext / Anwendungsgrenzen / Vorsicht"
+    },
+    "version": "0.1.0 — initial, Stand 2026-05-15"
+  },
+
+  "verstoss_klassen": {
+    "google_fonts_ohne_consent": {
+      "name": "Google Fonts via Google-CDN ohne Consent",
+      "rechtsgrundlage": "Art. 6(1) DSGVO + § 25 TDDDG + Art. 13 DSGVO",
+      "streitwert_eur_min": 100,
+      "streitwert_eur_max": 500,
+      "az_anker": "LG Muenchen 3 O 17493/20",
+      "az_source_url": "https://medien-internet-und-recht.de/volltext.php?mir_dok_id=3119",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 1.5, "spa_med": 1.3, "finance": 1.4},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 215,
+      "notes": "LG Muenchen 2022. Schadensersatz pro betroffener Person 100 EUR. Abmahn-Welle 2022-2023, Pop-In gegen Wallow/RAK Lenard."
+    },
+
+    "cookie_banner_fehlt": {
+      "name": "Cookie-Banner fehlt / pre-Consent-Tracking",
+      "rechtsgrundlage": "§ 25 TDDDG + EuGH C-673/17 Planet49",
+      "streitwert_eur_min": 1000,
+      "streitwert_eur_max": 15000,
+      "az_anker": "EuGH C-673/17 Planet49",
+      "az_source_url": "https://curia.europa.eu/juris/liste.jsf?num=C-673/17",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 1.5, "spa_med": 1.3, "finance": 1.4, "ecommerce": 1.2},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 887,
+      "notes": "Aktive Welle 2023-2025. BfDI-Konsultations-Bescheide variieren stark."
+    },
+
+    "impressum_unvollstaendig": {
+      "name": "Impressum unvollstaendig oder verdeckt platziert",
+      "rechtsgrundlage": "§ 5 DDG (ehemals § 5 TMG)",
+      "streitwert_eur_min": 1500,
+      "streitwert_eur_max": 5000,
+      "az_anker": "BGH I ZR 218/07 Fehlendes Impressum",
+      "az_source_url": "https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&sid=&nr=46651",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 1.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 627,
+      "notes": "Klassischer Wettbewerbszentrale-Abmahn-Vektor. 2-Klick-Regel BGH 2007."
+    },
+
+    "newsletter_ohne_doi": {
+      "name": "Newsletter ohne Double-Opt-In",
+      "rechtsgrundlage": "§ 7 Abs. 2 Nr. 2 UWG + Art. 6 DSGVO",
+      "streitwert_eur_min": 3000,
+      "streitwert_eur_max": 10000,
+      "az_anker": "BGH I ZR 218/07 (Single-Opt-In unzureichend)",
+      "az_source_url": "https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&sid=&nr=46651",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "ecommerce": 1.2, "saas": 1.1},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 745,
+      "notes": "BGH 11.03.2004. DOI ist Pflicht (selbst bei Bestandskunden teils unklar). Aktive Welle 2024-2025 (Gravenreuth)."
+    },
+
+    "agb_b2c_unwirksame_klausel": {
+      "name": "AGB B2C mit unwirksamer Klausel (§§ 305-310 BGB)",
+      "rechtsgrundlage": "§§ 305 ff. BGB + UWG § 3a iVm § 1 UKlaG",
+      "streitwert_eur_min": 2500,
+      "streitwert_eur_max": 15000,
+      "az_anker": "BGH XI ZR 26/20 (Genehmigungsfiktion AGB-Aenderung) + BGH VIII ZR 70/08 (Widerrufsbelehrung)",
+      "az_source_url": "https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=59258",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.8, "wettbewerbszentrale": 2.2, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "ecommerce": 1.3, "saas": 1.2, "finance": 1.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 887,
+      "notes": "Verbraucherzentralen-Hauptvektor. Mehrere unwirksame Klauseln = additive Streitwerte."
+    },
+
+    "drittland_us_ohne_scc": {
+      "name": "Drittland-Transfer USA ohne SCC / TIA",
+      "rechtsgrundlage": "Art. 44 ff. DSGVO + EuGH Schrems II",
+      "streitwert_eur_min": 10000,
+      "streitwert_eur_max": 100000,
+      "az_anker": "EuGH C-311/18 Schrems II",
+      "az_source_url": "https://curia.europa.eu/juris/liste.jsf?num=C-311/18",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 2.0, "datenschutzbehoerde": 3.0, "abmahn_anwalt_bekannt": 2.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 2.0, "finance": 2.0, "medtech": 2.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 1953,
+      "notes": "BfDI-Bescheide bis 35M EUR (H&M 2020). Schrems-II-Risiko bei jedem US-Provider ohne DPF + zusaetzliche TIA."
+    },
+
+    "art13_datenschutzerklaerung_unvollstaendig": {
+      "name": "Datenschutzerklaerung unvollstaendig (Art. 13/14 DSGVO)",
+      "rechtsgrundlage": "Art. 13/14 DSGVO + Art. 83 Abs. 5(b)",
+      "streitwert_eur_min": 2000,
+      "streitwert_eur_max": 25000,
+      "az_anker": "BfDI/LDI-Bescheide 2021-2025 (§-Norm-Anker — Art. 83(5)(b) DSGVO; einzelne Bescheide siehe references/bgh-urteile.md fuer EuGH C-300/21 + C-340/21 + C-687/21)",
+      "az_source_url": "https://www.bfdi.bund.de/DE/Service/Taetigkeitsberichte/Taetigkeitsberichte_node.html",
+      "aktor_multiplikatoren": {"standard": 1.0, "datenschutzbehoerde": 3.0, "verbraucherzentrale": 1.5, "wettbewerbszentrale": 1.8},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 2.0, "finance": 1.5, "ecommerce": 1.2},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 887,
+      "notes": "Art. 83(5)(b) DSGVO erlaubt bis 20M EUR / 4%. Realistic 5-25k bei mittelstaendischen Verstoessen."
+    },
+
+    "datenpanne_keine_meldung_72h": {
+      "name": "Datenpanne keine Meldung an Behoerde binnen 72h",
+      "rechtsgrundlage": "Art. 33 DSGVO + EuGH C-340/21",
+      "streitwert_eur_min": 25000,
+      "streitwert_eur_max": 500000,
+      "az_anker": "EuGH C-340/21 Bulgarische Steuerbehoerde",
+      "az_source_url": "https://curia.europa.eu/juris/liste.jsf?num=C-340/21",
+      "aktor_multiplikatoren": {"standard": 1.0, "datenschutzbehoerde": 3.0, "betroffener_individuell": 1.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "heilberuf": 2.5, "finance": 2.5, "medtech": 2.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 4127,
+      "notes": "Art. 83(4) DSGVO bis 10M EUR / 2%. Skalliert mit Anzahl betroffener Personen + Datenkategorie (Art-9 4x)."
+    },
+
+    "eudr_geolocation_fehlt": {
+      "name": "EUDR Geolocation pro Plot fehlt",
+      "rechtsgrundlage": "Art. 9 EUDR (VO 2023/1115)",
+      "streitwert_eur_min": 50000,
+      "streitwert_eur_max": 2000000,
+      "az_anker": "EUDR Art. 25 (§-Norm-Anker, keine Case-Law — Erstanwendung 30.12.2025 erwartet)",
+      "az_source_url": "https://eur-lex.europa.eu/eli/reg/2023/1115/oj",
+      "aktor_multiplikatoren": {"standard": 1.0, "nationale_behoerde": 3.0},
+      "branchen_multiplikatoren": {"standard": 1.0, "kaffee_importer": 1.5, "kakao_importer": 1.5, "soja_importer": 1.5, "palmoel_importer": 2.0},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 12000,
+      "notes": "Art. 25(2) EUDR: bis 4% des Unionsweiten Jahresumsatzes. Konfiskation der Ware (Art. 25(3)). Marktausschluss bis 12 Monate (Art. 25(4))."
+    },
+
+    "ai_act_verbotene_praktik": {
+      "name": "AI-Act verbotene Praktik (Art. 5)",
+      "rechtsgrundlage": "Art. 5 AI Act (VO 2024/1689) — seit 02.02.2025",
+      "streitwert_eur_min": 1000000,
+      "streitwert_eur_max": 35000000,
+      "az_anker": "Art. 99 Abs. 3 AI Act (§-Norm-Anker, keine Case-Law — Erstanwendung Q2/2025 erwartet)",
+      "az_source_url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
+      "aktor_multiplikatoren": {"standard": 1.0, "nationale_behoerde": 3.0, "eu_ai_office": 3.5},
+      "branchen_multiplikatoren": {"standard": 1.0, "hr": 2.0, "finance": 2.0, "edtech": 1.8, "behoerde": 2.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 36000,
+      "notes": "Art. 99(3): bis 35M EUR oder 7% weltweiter Jahresumsatz. Inkraft seit 02.02.2025."
+    },
+
+    "bfsg_barrierefreiheit_fehlt": {
+      "name": "BFSG Barrierefreiheit fehlt (B2C E-Commerce)",
+      "rechtsgrundlage": "BFSG + EN 301 549 / WCAG 2.1 AA",
+      "streitwert_eur_min": 5000,
+      "streitwert_eur_max": 100000,
+      "az_anker": "§ 22 BFSG iVm § 16 BFSGV (§-Norm-Anker, keine Case-Law — Stichtag 28.06.2025)",
+      "az_source_url": "https://www.gesetze-im-internet.de/bfsg/",
+      "aktor_multiplikatoren": {"standard": 1.0, "verbraucherzentrale": 1.5, "behoerde": 2.5, "verband_blindeb_behind": 2.0},
+      "branchen_multiplikatoren": {"standard": 1.0, "ecommerce": 1.3, "banking": 1.5},
+      "schwere_faktoren": {"low": 0.5, "med": 1.0, "high": 2.0, "crit": 4.0},
+      "anwalts_kosten_geschaeftsgebuehr": 1100,
+      "notes": "Stichtag 28.06.2025 fuer alle B2C-E-Commerce ab Schwellenwerten. § 22 BFSG: bis 100k EUR Bussgeld."
+    }
+  }
+}

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/AffiliateDisclaimer.tsx.example

@@ -0,0 +1,54 @@
+// MIT-License — anonymized teaching snippet for brutaler-anwalt
+// References: checklisten.md Checkliste 3c (UWG § 5a Abs. 4)
+// Az.-Anker: LG Muenchen I 4 HK O 14302/15 (Influencer-Werbung als "Werbung"/"Anzeige")
+
+// File: src/components/shared/AffiliateDisclaimer.tsx
+// Use: import + render at top of any /empfehlungen, /partnerprogramm, /tipp,
+//      /best-of route. Pflicht: visible above-the-fold + before product listing.
+
+import React from 'react';
+
+interface AffiliateDisclaimerProps {
+  /** optional override of default copy */
+  text?: string;
+  /** className override for layout-specific styling */
+  className?: string;
+}
+
+const DEFAULT_TEXT =
+  'Werbehinweis: Diese Seite enthält Affiliate-Links (mit * markiert). ' +
+  'Wenn Sie über einen solchen Link einkaufen, erhalten wir eine kleine ' +
+  'Provision. Für Sie entstehen dadurch keine Mehrkosten. Diese Provision ' +
+  'finanziert unsere Arbeit und beeinflusst nicht unsere Empfehlung.';
+
+export function AffiliateDisclaimer({
+  text = DEFAULT_TEXT,
+  className = '',
+}: AffiliateDisclaimerProps) {
+  return (
+    <aside
+      role="note"
+      aria-label="Werbehinweis"
+      className={`affiliate-disclaimer ${className}`.trim()}
+      data-testid="affiliate-disclaimer"
+    >
+      <p>{text}</p>
+    </aside>
+  );
+}
+
+// USAGE (example layout, e.g., src/app/(dashboard)/empfehlungen/layout.tsx):
+//
+//   import { AffiliateDisclaimer } from '@/components/shared/AffiliateDisclaimer';
+//   export default function EmpfehlungenLayout({ children }) {
+//     return (
+//       <>
+//         <AffiliateDisclaimer />
+//         {children}
+//       </>
+//     );
+//   }
+//
+// VERIFY:
+//   curl https://<your-domain>/empfehlungen | grep -ic 'Werbehinweis'
+//   # erwarte: >= 1 Treffer

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/COMPLIANCE-AUDIT-TRAIL-template.md

@@ -0,0 +1,95 @@
+---
+license: MIT
+purpose: Audit-Trail-Doku-Vorlage. Wird von brutaler-anwalt-Audit als geshippter Bericht erstellt.
+references: SKILL.md Output-Format
+---
+
+# Compliance-Audit-Trail — `<projekt-name>`
+
+**Stand:** `<YYYY-MM-DD>`
+**Auditor:** brutaler-anwalt v`<version>` + `<operator>`
+**Scope:** `<Live-URL / Repo / Doku>`
+**Status:** `<DRAFT / FREIGEGEBEN / IN REMEDIATION>`
+
+---
+
+## 0. Disclaimer
+
+Diese Analyse ist keine Rechtsberatung i.S.d. § 2 RDG (BGH I ZR 113/20 Smartlaw)
+und ersetzt keinen zugelassenen Rechtsanwalt. Output ist technisch-indikativ
+fuer interne Vorpruefung — nicht Beratung Dritter.
+
+---
+
+## 1. Konsolidierte Risiko-Bewertung
+
+`<2-4 Saetze: Wahrscheinlichkeit Abmahnung/Bussgeld binnen 90 Tagen, €-Range,
+kritischste 1-3 Findings, primaerer Hebel.>`
+
+---
+
+## 2. Findings (verified)
+
+| # | Wahrsch. | Kritikalitaet | Bereich | Rechtsgrundlage | €-Range | Status | Fix |
+|---|----------|---------------|---------|-----------------|---------|--------|-----|
+| 1 | `<%>` | `<🔴/🟡/🟢>` | `<Bereich>` | `<§/Art.>` | `<X-Y €>` | verified | `<konkret>` |
+
+---
+
+## 3. Anwalts-Anhang (pro Finding)
+
+### Finding #`<n>`: `<Bereich + Kurzbeschreibung>`
+
+**HUNTER-Befund:**
+`<Was wurde gefunden, wo, wie. Code/Text-Zitat wenn moeglich.>`
+
+**Rechtsgrundlage:**
+- §/Art.: `<konkret>`
+- Az. relevantes Urteil: `<LG/OLG/BGH/EuGH + Datum>` (Source: `<URL>`)
+- Tenor: `<1 Satz>`
+
+**CHALLENGER-Test:**
+- Bedingung A: `<erfuellt/nicht erfuellt>`
+- Bedingung B: `<...>`
+- Verdict: `<verified/disputed/false-positive>`
+
+**Risiko-Vektor:**
+- Abmahnung Wettbewerber: `<%>`
+- Behoerden-Bussgeld: `<€-Range, Stufe Art. 83 DSGVO>`
+- Schadensersatz Betroffene: `<Art. 82 DSGVO>`
+- Worst-Case-Frist: `<Tage>`
+
+**Fix:**
+`<Konkrete technische ODER textuelle Massnahme.>`
+
+---
+
+## 4. Verifikations-Status (Skill-Self-Test)
+
+| Verification-Check | Status |
+|--------------------|--------|
+| References geladen (audit-patterns.md + topic-spezifische) | `<✓/✗>` |
+| Jedes Finding hat §/Art. + Az. + Reference-File-Pfad | `<✓/✗>` |
+| Az.-Provenance verifiziert (Source-URL pro Az.) | `<✓/✗>` |
+| HUNTER-Phase fuer alle Inputs durchlaufen | `<✓/✗>` |
+| CHALLENGER-Phase pro Finding | `<✓/✗>` |
+| SYNTHESIZER-Konsolidierung gemacht | `<✓/✗>` |
+| Risk-Klassifikation pro Fix | `<✓/✗>` |
+| Disclaimer am Output-Ende | `<✓/✗>` |
+| Sanitization-Check (keine internen Brand-Refs im Output) | `<✓/✗>` |
+| DEVIL'S ADVOCATE durchgelaufen | `<✓/✗>` |
+| LIVE-PROBE durchgelaufen (falls verfuegbar) | `<✓/✗>` |
+
+---
+
+## 5. Naechste Schritte
+
+| Prio | Aktion | Owner | Frist |
+|------|--------|-------|-------|
+| 🔴 | `<...>` | `<...>` | `<...>` |
+
+---
+
+*Diese Analyse ersetzt keine anwaltliche Beratung. Fuer verbindliche
+Rechtsauskunft empfehle ich die Konsultation eines Fachanwalts fuer
+IT-Recht / Datenschutzrecht.*

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/DSE-Section-UGC.md.example

@@ -0,0 +1,77 @@
+---
+license: MIT
+purpose: DSE-Block-Vorlage fuer UGC-Plattformen (Vermisst, Marketplace, Forum, Profile).
+references: audit-patterns.md Phase 5c UGC-PUBLIC-PII-AUDIT
+sources: Art. 6 Abs. 1 lit. a + lit. f DSGVO + EuGH C-131/12 Google Spain + DSA Art. 16
+---
+
+# DSE-Section: User-Generated-Content (UGC) — Vorlage
+
+> Dieser Block gehoert in deine Datenschutzerklaerung wenn deine Plattform
+> oeffentlich abrufbare User-Posts hat (Vermisst-Inserate, Marketplace-Listings,
+> Forum-Threads, oeffentliche Profile, oeffentliche Kommentare).
+
+## `<N>`. Nutzer-veroeffentlichte Inhalte (UGC)
+
+### `<N>.1` Welche Daten werden veroeffentlicht?
+
+Wenn Sie als Nutzer einen Beitrag in `<unsere-Plattform>` (z.B. ein
+Vermisst-Inserat, eine Marketplace-Anzeige, einen Forum-Beitrag, ein
+oeffentliches Profil) veroeffentlichen, sind folgende Daten oeffentlich
+abrufbar:
+
+- `<Auflistung der Felder>`, z.B.: Vorname, Stadt, Telefonnummer, E-Mail,
+  Foto, Tier-Daten, freier Text
+
+Diese Daten sind nach Veroeffentlichung **fuer alle Internetnutzer
+einsehbar**, koennen von Suchmaschinen indexiert werden und ggf. von
+Drittanbietern (Wayback Machine, Google Cache) gespeichert werden.
+
+### `<N>.2` Rechtsgrundlage
+
+Art. 6 Abs. 1 lit. a DSGVO — Einwilligung. Die Einwilligung wird beim
+Abschicken des Posting-Formulars durch eine Pflicht-Checkbox eingeholt
+(siehe Posting-Form in der App / auf der Website). Die Checkbox ist nicht
+vorausgewaehlt; ohne aktive Bestaetigung kann kein Post abgeschickt werden.
+
+### `<N>.3` Speicherdauer
+
+`<konkret, z.B.: "Vermisst-Inserate werden 90 Tage nach dem Status
+\"gefunden\" automatisch geloescht. Marketplace-Anzeigen verfallen 30 Tage
+nach Inaktivitaet. Forum-Beitraege werden bis zur expliziten Loeschung durch
+den Nutzer aufbewahrt.">`
+
+Die automatischen Loesch-Cron-Jobs sind dokumentiert (siehe
+`references/templates/data-retention-cron.ts.example` als Pattern).
+
+### `<N>.4` Recht auf Loeschung (Art. 17 DSGVO)
+
+Sie koennen Ihre Beitraege jederzeit selbst loeschen ueber `<Pfad zum
+Loeschen-UI>`. Wir setzen zusaetzlich `X-Robots-Tag: noindex` Header auf
+allen UGC-Detail-Pages mit personenbezogenen Daten — damit Suchmaschinen
+nicht in den Cache nehmen, was Sie spaeter loeschen wollen
+(Az.-Anker: EuGH C-131/12 Google Spain). Wir leiten Loesch-Anfragen
+auf Wunsch auch an Google / Bing / DuckDuckGo weiter
+(siehe Hilfe-FAQ `<URL>` fuer Anleitung).
+
+### `<N>.5` Notice-and-Action gem. DSA (Art. 16)
+
+Bei rechtswidrigen UGC-Inhalten haben Sie ein Notice-and-Action-Recht.
+Reichen Sie eine Meldung ein unter `<URL zum Report-Endpoint>` oder per
+E-Mail an `<email>`. Wir reagieren innerhalb von `<X>` Tagen (DSA Art. 16
+verlangt unverzuegliche Bearbeitung; bei Strafverfolgungs-relevanten
+Inhalten unverzuegliche Behoerden-Meldung).
+
+### `<N>.6` Empfehlung an Nutzer
+
+Wir empfehlen, in oeffentlichen UGC-Posts:
+- nicht die Privatadresse, nur Stadt
+- bevorzugt eine sekundaere E-Mail-Adresse oder Plattform-interne Inbox
+- bei Telefonnummer pruefen ob Kontakt-Formular reicht
+
+`<weitere Branchen-spezifische Hinweise>`
+
+---
+
+*Disclaimer: technisch-indikative Vorlage, keine Rechtsberatung i.S.d. § 2 RDG.
+Vor produktivem Einsatz von Fachanwalt fuer Datenschutzrecht pruefen lassen.*