npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/DSFA-template.md ADDED Viewed

@@ -0,0 +1,156 @@
+---
+license: MIT
+purpose: Generische DSFA-Vorlage (Art. 35 DSGVO). Anonym, brand-agnostic.
+references: dsgvo.md (DSFA-Trigger-Liste)
+sources: BayLDA-Hinweise zur DSFA + DSK-Whitelist 2018
+---
+# Datenschutz-Folgenabschaetzung (DSFA) — Vorlage
+> Diese Vorlage erfuellt Art. 35 DSGVO + DSK-Whitelist 2018 + BayLDA-Hinweise.
+> Kein Ersatz fuer anwaltliche Bewertung. Vor Inbetriebnahme der Verarbeitung
+> intern abnehmen lassen (Datenschutzbeauftragter / interner Compliance-Officer).
+## 1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
+| Feld | Wert |
+|------|------|
+| Verantwortlicher | `<Operator-Firma>` |
+| Anschrift | `<vollstaendige-Anschrift>` |
+| Kontakt DSB | `<email-DSB>` (sofern bestellt) |
+| DSFA-Datum | `<YYYY-MM-DD>` |
+| DSFA-Version | `<vN.N>` |
+## 2. Beschreibung der Verarbeitung (Art. 35 Abs. 7 lit. a DSGVO)
+- **Verarbeitungszweck**: `<Zweck>`
+- **Datenkategorien**: `<Kategorien>` (z.B. Stammdaten, Kontaktdaten, Nutzungsdaten, ggf. besondere Kategorien Art. 9)
+- **Betroffene Personen**: `<Personenkreis>`
+- **Empfaenger**: `<intern>` / `<Auftragsverarbeiter>` / `<Drittland>`
+- **Speicherdauer**: `<Frist>` (mit gesetzlichem Anker)
+- **Rechtsgrundlage**: Art. 6 Abs. 1 lit. `<a/b/c/d/e/f>` DSGVO `<+ Art. 9 lit. X falls relevant>`
+## 3. Notwendigkeit + Verhaeltnismaessigkeit (Art. 35 Abs. 7 lit. b)
+- **Notwendigkeit**: warum diese Daten?
+- **Datenminimierung**: was wurde weggelassen?
+- **Pseudonymisierung / Anonymisierung**: wo moeglich?
+## 4. Risiken fuer Betroffene (Art. 35 Abs. 7 lit. c)
+| Risiko-Kategorie | Bewertung | Begruendung |
+|------------------|-----------|-------------|
+| Identitaetsdiebstahl | `<niedrig/mittel/hoch>` | `<...>` |
+| Diskriminierung | `<...>` | `<...>` |
+| Reputations-/Vermoegensschaden | `<...>` | `<...>` |
+| Profiling | `<...>` | `<...>` |
+| Verlust Kontrolle ueber Daten | `<...>` | `<...>` |
+### 4.1 Schadensersatz-Erwartungswert (post-EuGH C-300/21)
+| Schaden-Klasse | Realistische Hoehe pro Betroffener | Begruendung |
+|---|---|---|
+| Bagatell-Verletzung | 0-100 EUR | C-456/22 Gemeinde Ummendorf — keine Erheblichkeitsschwelle, aber kurzfristiger Kontrollverlust niedrig bewertet |
+| Befuerchtungs-Schaden (Datenleck) | 100-500 EUR | C-340/21 Natsionalna agentsia — bei Cyber-Angriff ausreichend; pro Betroffener |
+| Massendaten-Verarbeitung ohne Rechtsgrundlage | 500-2.000 EUR | C-446/21 Schrems vs Meta — Datenminimierungs-Verstoss bei Profiling-Aggregation |
+| Sensible Daten Art. 9 DSGVO | 1.000-5.000 EUR | C-21/23 Lindenapotheke — Gesundheits-/Religiose/Biometrie-Daten erhoehter Schutz |
+| Identitaetsdiebstahl tatsaechlich erfolgt | bis Vollausgleich materieller Schaden | C-182/22 + C-189/22 Scalable — voller Ausgleich |
+**Wichtig (C-590/22 PS GbR)**: Schadensersatz hat **reine Kompensationsfunktion** — NICHT mit Bussgeld-Hoehen argumentieren. Bemessung orientiert sich an konkreten Auswirkungen fuer Betroffene (Aerger-Dauer, Daten-Sensitivitaet, Wiederholbarkeit). Cross-Reference: `references/eu-eugh-dsgvo-schadensersatz.md` Tier-1.
+### 4.2 Doku-Pflicht nach § 35 BDSG (Beschaeftigtendaten-Spezifika)
+Bei Beschaeftigtendaten-Verarbeitung zusaetzlich zur DSGVO-DSFA pruefen:
+- **§ 35 Abs. 1 BDSG**: Recht auf Berichtigung — Verfahren ueberhaupt vorgesehen?
+- **§ 35 Abs. 2 BDSG**: Loeschungs-Anspruch enger als Art. 17 DSGVO bei behoerdlichen Aufbewahrungspflichten
+- **§ 35 Abs. 3 BDSG**: Statt Loeschung Einschraenkung der Verarbeitung bei Pflicht-Aufbewahrung
+- **EuGH C-65/23 MK gg K GmbH (19.12.2024)**: Beschaeftigten-Betriebsvereinbarung muss kumulativ Art. 88 Abs. 2 DSGVO **UND** Art. 5/6/9 DSGVO erfuellen — BV kein Schutzschild fuer DSGVO-Nicht-Konformitaet (Cross-Reference: `references/eu-eugh-dsgvo-schadensersatz.md` Tier-1 #10)
+**Pflicht-Pruefung bei HR-Tools (Workday, HRIS, Workforce-Analytics, KI-Hiring)**:
+1. Rechtsgrundlage Art. 88 + Art. 6 + ggf. Art. 9 DSGVO
+2. § 26 BDSG-Verhaeltnismaessigkeit
+3. BetrVG § 87 Abs. 1 Nr. 6 (Mitbestimmung KI-Tools)
+4. AGG § 7 + § 22 (Diskriminierungs-Beweislast bei KI-Bewerbungstools)
+5. § 35 BDSG-Berichtigungs-/Loeschungs-Verfahren
+## 5. Abhilfemassnahmen (Art. 35 Abs. 7 lit. d)
+| Massnahme | Implementierungsstatus | Verify-Command |
+|-----------|------------------------|----------------|
+| Verschluesselung at-rest (TLS, DB) | `<umgesetzt>` | `<curl -sI ...>` |
+| Verschluesselung in-transit | `<umgesetzt>` | `<...>` |
+| Zugriffsbeschraenkung (RBAC) | `<...>` | `<...>` |
+| Audit-Logging | `<...>` | `<...>` |
+| Datenminimierung in Logs | `<...>` | `<...>` |
+| Auto-Cleanup nach Frist | `<...>` | `<...>` |
+| TOMs (Art. 32 DSGVO) | `<verweis>` | `<...>` |
+## 6. Konsultations-Pflicht (Art. 36 DSGVO)
+- Wenn nach Massnahmen Risiko **weiterhin hoch** → Pflicht, Aufsichtsbehoerde
+  zu konsultieren VOR Beginn der Verarbeitung.
+- Frist Aufsichtsbehoerde: 8 Wochen (verlaengerbar 6 Wochen).
+## 7. Review-Frist
+DSFA mindestens jaehrlich oder bei wesentlicher Aenderung der Verarbeitung
+ueberpruefen. Naechstes Review: `<YYYY-MM-DD>`.
+## 8. Spezifika fuer Art-9-Verarbeitungen (V4-Pattern, post-Art-9-Workflow-Audit 2026-05-03)
+Bei besonderen Kategorien Art. 9 DSGVO (Gesundheitsdaten, biometrisch, Gewerkschaft,
+Religion, politische Meinung) gelten **verschaerfte Anforderungen** (Art. 35 Abs. 3
+lit. b — DSFA Pflicht; KMU-Privileg gilt nicht).
+### 8.1 Rechtsgrundlage-Pruefung
+- Hauptpfad: Art. 9 Abs. 2 lit. a DSGVO (ausdrueckliche Einwilligung)
+- Alternativen pruefen + ausschliessen:
+  - lit. b (Arbeitsrecht / Sozialschutz) — nur HR-Kontexte
+  - lit. c (lebenswichtige Interessen) — nur Notfall
+  - lit. f (Rechtsanspruechen) — nur prozessual
+  - lit. h (Gesundheitsvorsorge durch Berufsgeheimnistraeger) — nur Heilberuf
+- § 22 BDSG: Detail-Erlaubnis-Norm, NUR wenn lit. h greift
+- **Verbotener Verweis**: Art. 6 Abs. 1 lit. f (berechtigtes Interesse) — bei Art-9 nicht zulaessig
+### 8.2 Beweis-Pflicht-Mechanismus (Art. 7 Abs. 1)
+| Modus | Implementierung |
+|-------|-----------------|
+| Tablet-eES | SignaturePad-PNG verschluesselt im DB-Record (eIDAS Art. 3 Nr. 10) |
+| Papier eigenhaendig + Scan | Original im Tresor + SHA-256-Hash in DB |
+| Mitarbeiter-Abtipp + Scan + Mitarbeiter-Co-Signatur | Pflicht-Upload + Mitarbeiter-Bestaetigungs-Signatur |
+### 8.3 Crypto-at-Rest-TOMs
+- [ ] AES-256-GCM (oder ChaCha20-Poly1305) mit AAD-Bindung an Row-ID
+- [ ] Key-Versioning im Ciphertext-Format
+- [ ] Decrypt-Fail-Audit-Log (Tampering- + Key-Loss-Detection)
+- [ ] Recovery-Procedure dokumentiert (`docs/security/encryption-recovery.md`)
+- [ ] Mind. 3 unabhaengige Key-Backup-Standorte (Production-ENV + Vault + Offline)
+### 8.4 Aufbewahrungs-Differenzierung
+| Setup | Frist | Norm |
+|-------|-------|------|
+| Wellness/Kosmetik | 3 Jahre | BGB § 195 |
+| Heilpraktiker | 10 Jahre | BGB § 630f Abs. 3 |
+| Personenschaden-Sondercase | bis 30 Jahre | BGB § 199 Abs. 2 |
+### 8.5 Audit-Log-Pflicht-Events
+- create / view / export / revoke / delete (Metadaten-only beim DELETE!)
+- decrypt_failure mit reason + version + keyId
+- scan_hash_mismatch (Tampering-Indikator)
+### 8.6 Public-Form-Validierung
+Wenn Patienten via Public-Tablet/Self-Service Anamnese ausfuellen koennen — Pflicht-Signatur-Block muss UI-seitig vor Submit erzwingen werden. DB-CHECK-Constraint allein → schlechte UX (500-Error statt Submit-Block).
+> Audit-Pattern fuer Art-9: siehe `references/audit-patterns.md` Phase 5h (Art-9-Beweis-Workflow-Audit).
+---
+*Disclaimer: Diese Vorlage ist eine technisch-indikative Hilfe, keine Rechtsberatung
+i.S.d. § 2 RDG. Vor produktivem Einsatz von einem Fachanwalt fuer Datenschutzrecht
+oder einem zertifizierten Datenschutzbeauftragten pruefen lassen.*

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/LostFoundReportForm-consent.tsx.example ADDED Viewed

@@ -0,0 +1,126 @@
+// MIT-License — anonymized teaching snippet for brutaler-anwalt
+// References: audit-patterns.md Phase 5c UGC-PUBLIC-PII-AUDIT
+// Pattern: Posting-Form mit Pflicht-Checkbox "wird oeffentlich" (Art. 7 DSGVO Einwilligung)
+// File: src/components/forms/LostFoundReportForm.tsx (Beispiel: Vermisst-Inserat)
+// Generalisierbar fuer: Marketplace-Inserate, Forum-Threads, oeffentliche Profile.
+'use client';
+import { useState, FormEvent } from 'react';
+interface LostFoundFormState {
+  petName: string;
+  city: string;
+  contactPhone: string;
+  contactEmail: string;
+  description: string;
+  photo: File | null;
+  // Pflicht-Consent — ohne diesen kein Submit
+  publicConsent: boolean;
+  // Optional zusaetzlich: Speicherdauer-Consent + DSE-Akzeptanz
+  privacyAccepted: boolean;
+}
+const initialState: LostFoundFormState = {
+  petName: '',
+  city: '',
+  contactPhone: '',
+  contactEmail: '',
+  description: '',
+  photo: null,
+  publicConsent: false,
+  privacyAccepted: false,
+};
+export function LostFoundReportForm() {
+  const [form, setForm] = useState<LostFoundFormState>(initialState);
+  const [error, setError] = useState<string | null>(null);
+  const [submitting, setSubmitting] = useState(false);
+  // Submit-Gate — Pflicht-Checkbox + DSE-Akzeptanz
+  const canSubmit =
+    form.publicConsent &&
+    form.privacyAccepted &&
+    form.petName.length > 0 &&
+    form.city.length > 0 &&
+    (form.contactPhone.length > 0 || form.contactEmail.length > 0);
+  async function handleSubmit(e: FormEvent) {
+    e.preventDefault();
+    setError(null);
+    if (!canSubmit) {
+      setError('Bitte fuelle alle Pflichtfelder aus und bestaetige beide Hinweise.');
+      return;
+    }
+    setSubmitting(true);
+    try {
+      const fd = new FormData();
+      Object.entries(form).forEach(([k, v]) => {
+        if (v instanceof File) fd.append(k, v);
+        else if (typeof v === 'boolean') fd.append(k, v ? 'true' : 'false');
+        else fd.append(k, String(v));
+      });
+      const res = await fetch('/api/lost-found', { method: 'POST', body: fd });
+      if (!res.ok) throw new Error(`Server returned ${res.status}`);
+      // erfolgreich — redirect / toast
+    } catch (err) {
+      setError(String(err));
+    } finally {
+      setSubmitting(false);
+    }
+  }
+  return (
+    <form onSubmit={handleSubmit} className="lost-found-form">
+      {/* ... regular fields ... */}
+      {/* PFLICHT-Consent — sichtbar, NICHT vorausgewaehlt */}
+      <fieldset className="consent-block" aria-required="true">
+        <legend>Veroeffentlichungs-Hinweise (Pflicht)</legend>
+        <label className="consent-row">
+          <input
+            type="checkbox"
+            checked={form.publicConsent}
+            onChange={(e) => setForm({ ...form, publicConsent: e.target.checked })}
+            required
+          />
+          <span>
+            Ich habe verstanden, dass dieser Beitrag <strong>oeffentlich
+            abrufbar</strong> ist und in Suchmaschinen erscheinen koennte.
+            Telefonnummer/E-Mail werden bewusst veroeffentlicht, damit Finder
+            Kontakt aufnehmen koennen.
+          </span>
+        </label>
+        <label className="consent-row">
+          <input
+            type="checkbox"
+            checked={form.privacyAccepted}
+            onChange={(e) => setForm({ ...form, privacyAccepted: e.target.checked })}
+            required
+          />
+          <span>
+            Ich akzeptiere die <a href="/datenschutz" target="_blank">
+              Datenschutzerklaerung</a> und stimme der Verarbeitung gem. Art. 6
+            Abs. 1 lit. a DSGVO zu. Ich kann den Beitrag jederzeit selbst
+            loeschen.
+          </span>
+        </label>
+      </fieldset>
+      {error && <div role="alert" className="form-error">{error}</div>}
+      <button type="submit" disabled={!canSubmit || submitting}>
+        {submitting ? 'Wird abgeschickt…' : 'Vermisst-Inserat veroeffentlichen'}
+      </button>
+    </form>
+  );
+}
+// VERIFY:
+//   - Server-Side: API muss `publicConsent === true` UND `privacyAccepted === true` enforcen
+//     (Client-Disable allein reicht nicht — Browser-Devtools koennen den Disable umgehen).
+//   - Audit-Log: pro Posting consentId + IP-prefix + Zeitpunkt + Form-Version speichern
+//     (Rechenschaftspflicht Art. 5 Abs. 2).

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/README.md ADDED Viewed

@@ -0,0 +1,33 @@
+---
+license: MIT
+purpose: Anonymized teaching snippets referenced by audit-patterns.md / dsgvo.md / checklisten.md.
+---
+# Templates — anonymisierte Lehrbuch-Snippets
+Diese Templates sind brand-agnostische Vorlagen, die in den References als
+konkrete Lehrbuch-Beispiele zitiert werden. Sie ersetzen die in fruehen
+Skill-Versionen direkt eingebetteten Brand-spezifischen Snippets.
+**Konvention:**
+- `<placeholder>` = vom Operator zu ersetzen (z.B. `<brand>`, `<your-domain>`)
+- `<...>` in Code-Snippets sind absichtlich syntactically-invalid, damit
+  copy-paste-Hygiene erzwungen wird
+- Alle `.example`-Files sind **keine** lauffaehigen Module — Build-Tools
+  sollen sie ignorieren
+## Index
+| Template | Referenced from | Use case |
+|----------|----------------|----------|
+| `DSFA-template.md` | `dsgvo.md` DSFA-Trigger | Datenschutz-Folgenabschaetzung Doc-Vorlage |
+| `VVT-template.md` | `dsgvo.md` VVT | Verzeichnis Verarbeitungstaetigkeiten Vorlage |
+| `COMPLIANCE-AUDIT-TRAIL-template.md` | (Skill-Output-Pattern) | Audit-Trail-Doku-Vorlage fuer eigene Audits |
+| `AffiliateDisclaimer.tsx.example` | `checklisten.md` 3c | React-Component-Vorlage UWG § 5a Abs. 4 |
+| `proxy-strict-dynamic.ts.example` | `audit-patterns.md` HIGH-RISK-CSP | Next.js proxy-CSP Strict-Dynamic-Pattern |
+| `data-retention-cron.ts.example` | `audit-patterns.md` Phase 4 | Bearer-auth Retention-Cleanup Route |
+| `data-retention-workflow.yml.example` | `audit-patterns.md` Phase 4 | GitHub Actions Cron-Trigger |
+| `UmamiScript.tsx.example` | `audit-patterns.md` env-driven Tracking | env-driven Tracking-Component |
+| `security.txt.example` | `audit-patterns.md` Phase 2 | RFC 9116 (kein Placeholder-Bug) |
+| `DSE-Section-UGC.md.example` | `audit-patterns.md` Phase 5c | Vermisst-/Marketplace-DSE-Block |
+| `LostFoundReportForm-consent.tsx.example` | `audit-patterns.md` Phase 5c | Consent-Toggle-Pattern UGC-Posts |

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/UmamiScript.tsx.example ADDED Viewed

@@ -0,0 +1,64 @@
+// MIT-License — anonymized teaching snippet for brutaler-anwalt
+// References: audit-patterns.md env-driven Tracking-Component
+// Pattern: env-driven Umami / Plausible / Fathom Tracking-Snippet
+// File: src/components/analytics/UmamiScript.tsx
+// Use: include in app/layout.tsx (root layout). Loads only after consent OR
+//      if the tracker is configured "cookieless + IP-anon + DNT respect".
+import Script from 'next/script';
+interface UmamiScriptProps {
+  /** override the env-default; pass site-id explicitly when SSR-safe */
+  websiteId?: string;
+}
+export function UmamiScript({ websiteId }: UmamiScriptProps) {
+  // 1. host: env-driven; default = your own analytics subdomain (NOT vendor-default cloud).
+  //    NEVER hardcode a vendor cloud URL — that's a Drittland-Trigger.
+  const host = (
+    process.env.NEXT_PUBLIC_ANALYTICS_HOST ??
+    'https://<your-analytics-subdomain>'
+  ).replace(/\/+$/, '');
+  // 2. site-id from env (or prop override)
+  const id = websiteId ?? process.env.NEXT_PUBLIC_ANALYTICS_SITE_ID;
+  // 3. fail-soft: no tracking if env not configured (better than fallback to default-cloud)
+  if (!id) {
+    return null;
+  }
+  return (
+    <Script
+      strategy="afterInteractive"
+      src={`${host}/script.js`}
+      data-website-id={id}
+      data-host-url={host}
+      // Privacy-Hardening: respect DNT and GPC client-side (server-side opt: track-DNT off)
+      data-do-not-track="true"
+      // Cookieless mode + IP-anonymisation are server-side settings.
+      // The DSE statement MUST match the actual server-config — verify with admin-panel.
+      async
+    />
+  );
+}
+// USAGE in app/layout.tsx:
+//
+//   import { UmamiScript } from '@/components/analytics/UmamiScript';
+//   export default function RootLayout({ children }) {
+//     return (
+//       <html><body>{children}<UmamiScript /></body></html>
+//     );
+//   }
+//
+// VERIFY:
+//   curl -s https://<your-domain> | grep -oE 'data-host-url="[^"]+"'
+//   # erwarte: dein operator-eigener Analytics-Host, nie ein Vendor-Cloud-Default
+//
+// DSE-PFLICHT (analog dazu):
+//   "Wir nutzen das selbstgehostete Analyse-Tool [Tool-Name] auf <your-analytics-subdomain>.
+//    Verarbeitung erfolgt cookieless mit serverseitiger IP-Anonymisierung. DNT/GPC werden
+//    respektiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an
+//    aggregierter Reichweitenmessung). Widerspruch jederzeit moeglich..."

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/VVT-template-file-upload.md ADDED Viewed

@@ -0,0 +1,98 @@
+# VVT-Template — Direct-File-Upload-Verarbeitung
+> Vorlage fuer Verarbeitungstaetigkeit „Datei-Upload via Web-Form".
+> Lege im internen Compliance-Vault als `vvt-direct-file-upload.md` ab.
+> Aktualisiere bei jeder Erweiterung (neue Datei-Typen, neue Storage-Pfade, neue Auftragsverarbeiter).
+>
+> Disclaimer: Technisch-indikative Vorlage, keine Rechtsberatung i.S.d. § 2 RDG.
+> Vor produktivem Einsatz von einem Fachanwalt fuer Datenschutzrecht oder
+> einem zertifizierten Datenschutzbeauftragten pruefen lassen.
+## Bezeichnung
+Direct-File-Upload via [Form-Name, z.B. „Konfigurator", „Onboarding-Wizard"]
+## Verantwortlicher
+[Vor- und Nachname, Adresse, Email]
+[ggf. interner Datenschutzbeauftragter — falls Pflicht]
+## Zweck der Verarbeitung
+[Konkret z.B.: Erfassung von Brand-Assets (Logos, Bilder) fuer Webdesign-
+Briefing-Erstellung im Rahmen der Vertragsanbahnung]
+## Datenkategorien
+- Datei-Bytes (Bilder, Logos, PDFs)
+- Metadata: Dateiname, Groesse, MIME-Type
+- Indirekte PII: ggf. in Bild-Inhalten (Personenfotos, Unterschriften, Logos mit
+  Personenbezug) — siehe Art. 9-Bewertung unten
+## Art. 9 DSGVO Spezial-Kategorien Bewertung
+- [ ] Personenfotos potentiell biometrische Daten?
+  - Wenn nicht zur **eindeutigen Identifikation** verarbeitet → KEINE Art. 9
+  - Wenn ja (z.B. Gesichtserkennung, Vergleichs-Hash) → Art. 9-Pflichten
+- [ ] Unterschriften = biometrische Daten? → ja, falls zur Identifikation; ansonsten
+  regulaere PII
+## Empfaenger / Kategorien von Empfaengern
+- Operator selbst (intern)
+- SMTP-Auftragsverarbeiter (z.B. All-Inkl, Mailgun, Postmark) — siehe AVV-Liste
+- ggf. Object-Storage-Anbieter (z.B. Hetzner Object Storage) — siehe AVV-Liste
+- ggf. Mail-Forwarding-Empfaenger (z.B. externe Berater) — siehe interne Empfaenger-Liste
+## Drittland-Status
+- [ ] Auftragsverarbeiter alle in EU/EWR? → JA / NEIN
+- Wenn NEIN: SCCs + TIA pro Drittland-Empfaenger
+## Speicherdauer
+- [Konkret z.B.: 180 Tage ab Submit, danach automatische rekursive Loeschung
+  via Cron-Job <Pfad-zur-API-oder-Skript>]
+- Bei Vertragsschluss: Aufbewahrungsfristen § 257 HGB (6 J Geschaeftsbriefe) +
+  § 147 AO (10 J Buchungsbelege) gelten
+## Rechtsgrundlage
+- [Konkret z.B.: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) + lit. f
+  (berechtigtes Interesse — Briefing-Vollstaendigkeit)]
+- Wenn KI-Auswertung der Bilder: zusaetzlich Art. 22 DSGVO pruefen
+## TOMs (Technische und organisatorische Massnahmen) — Art. 32 DSGVO
+### Eingangs-Filter (Server-side)
+- [ ] MIME-Whitelist [konkret listen z.B.: image/png, image/jpeg, image/webp,
+      image/svg+xml, application/pdf]
+- [ ] Magic-Bytes-Check zusaetzlich
+- [ ] Size-Cap pro Datei [konkret z.B.: 10 MB]
+- [ ] Total-Cap pro Submission [konkret z.B.: 15 MB]
+- [ ] Path-Traversal-Schutz (basename + char-whitelist + UUID-Praefix)
+### Speicherung
+- [ ] Storage-Pfad: [konkret z.B.: /var/data/inquiries/<id>/uploads/]
+- [ ] Container/VPS-Setup: [konkret z.B.: Hetzner-VPS Falkenstein, Disk-
+      Verschluesselung gem. Server-Setup]
+- [ ] Bucket-side AES-256 (fuer Object Storage)
+- [ ] LUKS at-rest (fuer VPS-Disk) — falls aktiv
+### Uebertragung
+- [ ] TLS 1.3 in transit (HTTPS)
+- [ ] STARTTLS fuer SMTP-Versand (Port 587 + secure=false)
+- [ ] MTA-STS-Empfaenger-Check (falls aktiviert)
+### Loeschung
+- [ ] Automatisierter Cleanup-Cron [konkret: Pfad-zur-API + Cron-Schedule]
+- [ ] Recursive-Delete inkl. uploads/-Subfolder
+- [ ] Manueller Loeschpfad: [konkret z.B.: Email an datenschutz@... → manuell
+      aus Inquiries-Folder entfernen]
+### Logging
+- [ ] Filename in Logs als SHA-256-Hash (nicht raw)
+- [ ] Log-Retention max [konkret: 30 Tage]
+- [ ] Datei-Bytes NIE in Logs
+### Disk-Resilienz
+- [ ] `fs.statfs`-Check vor write
+- [ ] Per-IP-Tagesbudget (falls aktiviert)
+- [ ] Disk-Monitoring + Operator-Alert bei < 1 GB free
+## Bezug zu anderen VVT-Eintraegen
+- [Verweis auf VVT fuer Briefing-Daten allgemein]
+- [Verweis auf VVT fuer Email-Versand]
+## Letzte Aktualisierung
+[Datum, Editor, Anlass]

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/VVT-template.md ADDED Viewed

@@ -0,0 +1,60 @@
+---
+license: MIT
+purpose: Generische VVT-Vorlage (Art. 30 DSGVO). KMU-best-practice.
+references: dsgvo.md (VVT-Block)
+sources: Art. 30 Abs. 1 DSGVO + BayLDA-VVT-Hinweise
+---
+# Verzeichnis von Verarbeitungstaetigkeiten (VVT) — Vorlage
+> Diese Vorlage entspricht Art. 30 Abs. 1 DSGVO. KMU mit < 250 MA und
+> gelegentlicher Verarbeitung ohne Sonderkategorien sind nicht VVT-pflichtig
+> (Art. 30 Abs. 5), aber BayLDA empfiehlt VVT auch fuer KMU zur Erfuellung
+> Rechenschaftspflicht Art. 5 Abs. 2.
+## Stammblatt
+| Feld | Wert |
+|------|------|
+| Verantwortlicher | `<Operator-Firma>` |
+| Anschrift | `<vollstaendige-Anschrift>` |
+| Vertreter (Art. 27) | `<falls EU-Drittland-Sitz>` |
+| DSB | `<falls bestellt>` |
+| Stand | `<YYYY-MM-DD>` |
+| Version | `<vN.N>` |
+## Verarbeitungstaetigkeiten
+Pro Verarbeitung ein Block.
+### VT-001: `<Bezeichnung>`
+| Pflicht-Feld (Art. 30 Abs. 1) | Wert |
+|------------------------------|------|
+| **a) Name + Kontaktdaten Verantwortlicher** | siehe Stammblatt |
+| **b) Zwecke der Verarbeitung** | `<Zweck>` (Rechtsgrundlage Art. 6 Abs. 1 lit. `<a/b/c/d/e/f>`) |
+| **c) Kategorien betroffener Personen** | `<Kunden / Mitarbeiter / Lieferanten / ...>` |
+| **c) Kategorien personenbezogener Daten** | `<Stammdaten / Kontaktdaten / Nutzungsdaten / besondere Kategorien>` |
+| **d) Kategorien von Empfaengern** | `<intern / Auftragsverarbeiter / Drittland>` |
+| **e) Drittlandtransfer** | `<keine / USA / UK / ...>` (mit Mechanismus: SCC + TIA / Adequacy / DPF) |
+| **f) Speicherdauer / Loeschfristen** | `<Frist>` (gesetzlicher Anker, z.B. § 257 HGB / § 147 AO) |
+| **g) Allgemeine Beschreibung TOMs** | siehe `<TOMs-Doku-Verweis>` |
+### VT-002: `<naechste Verarbeitung>`
+(analog)
+## Auftragsverarbeiter (Art. 28)
+| Auftragsverarbeiter | Zweck | AVV-Status | Drittland | Standort |
+|---------------------|-------|-----------|-----------|----------|
+| `<Anbieter>` | `<Zweck>` | `<abgeschlossen YYYY-MM-DD>` | `<DE/EU/USA>` | `<Region>` |
+## Review
+VVT bei wesentlichen Aenderungen sofort updaten, ansonsten jaehrlich.
+Naechstes Review: `<YYYY-MM-DD>`.
+---
+*Disclaimer: technisch-indikative Vorlage, keine Rechtsberatung i.S.d. § 2 RDG.*

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/data-retention-cron.ts.example ADDED Viewed

@@ -0,0 +1,52 @@
+// MIT-License — anonymized teaching snippet for brutaler-anwalt
+// References: audit-patterns.md Phase 4 DSE-Drift-Audit Style 2 (DSE-Aussage "wir loeschen nach X")
+// Pattern: Next.js API-Route mit Bearer-Auth, idempotent, audit-logged
+// File: src/app/api/cron/data-retention/route.ts (Next.js App-Router)
+import { NextRequest, NextResponse } from 'next/server';
+const RETENTION_DAYS = Number(process.env.DATA_RETENTION_DAYS ?? '180');
+export async function POST(req: NextRequest) {
+  // 1. Bearer-Auth — Cron-Secret aus env, nicht hardcoded
+  const authHeader = req.headers.get('authorization') ?? '';
+  const expected = `Bearer ${process.env.CRON_SECRET}`;
+  if (!process.env.CRON_SECRET || authHeader !== expected) {
+    return NextResponse.json({ error: 'unauthorized' }, { status: 401 });
+  }
+  // 2. Compute cutoff
+  const cutoff = new Date(Date.now() - RETENTION_DAYS * 24 * 60 * 60 * 1000);
+  // 3. Delete-Logik — pro Tabelle / Collection / Bucket einzeln
+  const results = {
+    cutoff: cutoff.toISOString(),
+    deleted: {} as Record<string, number>,
+  };
+  try {
+    // Pseudocode — durch echten DB-Client ersetzen
+    // results.deleted.session_logs = await db.sessionLogs.deleteMany({ created_at: { lt: cutoff } });
+    // results.deleted.lost_found_posts = await db.lostFoundPosts.deleteMany({ expires_at: { lt: new Date() } });
+    // results.deleted.unverified_signups = await db.users.deleteMany({ verified: false, created_at: { lt: cutoff } });
+  } catch (err) {
+    console.error('[retention-cron] error', err);
+    return NextResponse.json({ error: 'cleanup-failed', details: String(err) }, { status: 500 });
+  }
+  // 4. Audit-Log — Pflicht fuer Rechenschafts-Nachweis Art. 5 Abs. 2 DSGVO
+  console.log(JSON.stringify({
+    event: 'data_retention_cleanup',
+    timestamp: new Date().toISOString(),
+    cutoff: results.cutoff,
+    deleted: results.deleted,
+  }));
+  return NextResponse.json(results);
+}
+// VERIFY:
+//   curl -X POST https://<your-domain>/api/cron/data-retention \
+//     -H "Authorization: Bearer $CRON_SECRET"
+//   # erwarte 200 + JSON mit deleted-counts; ohne Auth 401.

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/data-retention-workflow.yml.example ADDED Viewed

@@ -0,0 +1,47 @@
+## MIT-License — anonymized teaching snippet for brutaler-anwalt
+## References: audit-patterns.md Phase 4 DSE-Drift-Audit Style 2
+## Pattern: GitHub Actions Cron-Trigger fuer DSGVO-Retention-Cleanup
+# File: .github/workflows/data-retention.yml
+name: data-retention-cleanup
+on:
+  schedule:
+    # tgl. 03:00 UTC = 04:00 CET (low-traffic-window)
+    - cron: '0 3 * * *'
+  workflow_dispatch: {}
+jobs:
+  cleanup:
+    runs-on: ubuntu-latest
+    timeout-minutes: 5
+    permissions:
+      contents: read
+    steps:
+      - name: Trigger retention API
+        env:
+          CRON_SECRET: ${{ secrets.CRON_SECRET }}
+          API_URL: ${{ secrets.RETENTION_API_URL }}  # https://<your-domain>/api/cron/data-retention
+        run: |
+          if [ -z "$CRON_SECRET" ] || [ -z "$API_URL" ]; then
+            echo "::error::CRON_SECRET or RETENTION_API_URL not set in GH secrets"
+            exit 1
+          fi
+          response=$(curl -sS -w "\n%{http_code}" -X POST "$API_URL" \
+            -H "Authorization: Bearer $CRON_SECRET" \
+            -H "Content-Type: application/json" \
+            --max-time 60)
+          body=$(echo "$response" | sed '$d')
+          status=$(echo "$response" | tail -n1)
+          echo "::group::API response"
+          echo "$body"
+          echo "::endgroup::"
+          if [ "$status" != "200" ]; then
+            echo "::error::retention API returned status $status"
+            exit 1
+          fi
+# VERIFY in repo:
+#   gh workflow run data-retention-cleanup
+#   gh run list --workflow=data-retention-cleanup --limit 5