@aegis-scan/skills 0.4.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/proxy-strict-dynamic.ts.example

@@ -0,0 +1,80 @@
+// MIT-License — anonymized teaching snippet for brutaler-anwalt
+// References: audit-patterns.md HIGH-RISK CSP unsafe-inline Migration
+// Pattern: Next.js (App Router) middleware.ts / proxy.ts mit Strict-Dynamic-CSP
+
+// File: src/middleware.ts (oder src/proxy.ts) — Next.js 14+
+// Pattern: per-request nonce → CSP-Header → propagate via x-nonce request-header.
+// Layout liest x-nonce via headers().get('x-nonce') und gibt es an inline-Scripts.
+
+import { NextRequest, NextResponse } from 'next/server';
+
+const cspDirectives = (nonce: string) => [
+  `default-src 'self'`,
+  // Strict-Dynamic + nonce: ersetzt unsafe-inline ohne legitime inline-scripts zu brechen
+  `script-src 'self' 'nonce-${nonce}' 'strict-dynamic' https:`,
+  // Style: nonce + self; unsafe-inline weiterhin nur zugelassen wenn unvermeidbar
+  `style-src 'self' 'nonce-${nonce}'`,
+  `img-src 'self' data: https://<your-cdn-domain>`,
+  `font-src 'self' data:`,
+  // Connect: API-Endpoints + 3rd-party-Services aus DSE
+  `connect-src 'self' https://<api-domain> https://<analytics-host>`,
+  `frame-src 'self' https://<embed-domains>`,
+  `object-src 'none'`,
+  `base-uri 'self'`,
+  `form-action 'self'`,
+  `frame-ancestors 'none'`,
+  `upgrade-insecure-requests`,
+].join('; ');
+
+export function middleware(req: NextRequest) {
+  // 1. Generate per-request nonce (16 random bytes, base64)
+  const nonce = btoa(crypto.getRandomValues(new Uint8Array(16)).join(''));
+
+  // 2. Forward via request-header so layout/components can read it
+  const requestHeaders = new Headers(req.headers);
+  requestHeaders.set('x-nonce', nonce);
+
+  // 3. Build response with CSP-Header
+  const response = NextResponse.next({ request: { headers: requestHeaders } });
+  response.headers.set('Content-Security-Policy', cspDirectives(nonce));
+
+  // 4. Defense-in-depth headers
+  response.headers.set('X-Frame-Options', 'DENY');
+  response.headers.set('X-Content-Type-Options', 'nosniff');
+  response.headers.set('Referrer-Policy', 'strict-origin-when-cross-origin');
+  response.headers.set(
+    'Strict-Transport-Security',
+    'max-age=63072000; includeSubDomains; preload',
+  );
+  response.headers.set(
+    'Permissions-Policy',
+    'camera=(), microphone=(), geolocation=(self), interest-cohort=()',
+  );
+
+  return response;
+}
+
+export const config = {
+  matcher: '/:path*',
+};
+
+// USAGE in layout.tsx:
+//
+//   import { headers } from 'next/headers';
+//   export default function RootLayout({ children }) {
+//     const nonce = headers().get('x-nonce') ?? '';
+//     return (
+//       <html>
+//         <body>
+//           <Script id="bootstrap" nonce={nonce} strategy="beforeInteractive">
+//             {`/* inline bootstrap */`}
+//           </Script>
+//           {children}
+//         </body>
+//       </html>
+//     );
+//   }
+//
+// VERIFY:
+//   curl -sIS https://<your-domain> | grep -i 'content-security-policy'
+//   # erwarte: 'nonce-...' + 'strict-dynamic' enthalten, KEIN 'unsafe-inline'

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates/security.txt.example

@@ -0,0 +1,26 @@
+# MIT-License — anonymized teaching snippet for brutaler-anwalt
+# References: audit-patterns.md Phase 2 Public-Static-File-Audit
+# Spec: RFC 9116 (https://www.rfc-editor.org/rfc/rfc9116)
+#
+# File: public/.well-known/security.txt
+# Critical: KEINE Placeholder-Tokens (`{{...}}`, `<...>`, `YOUR_*`, `AGENT:`,
+#           `TODO:`, `FIXME:`) im Production-Build. Die folgenden Werte sind
+#           OPERATOR-VERANTWORTUNG, vor Deploy konkret zu setzen.
+
+Contact: mailto:security@<your-domain>
+Contact: https://<your-domain>/security/contact
+Expires: 2027-12-31T23:59:59Z
+Encryption: https://<your-domain>/.well-known/pgp-key.txt
+Acknowledgments: https://<your-domain>/security/hall-of-fame
+Preferred-Languages: de, en
+Canonical: https://<your-domain>/.well-known/security.txt
+Policy: https://<your-domain>/security/responsible-disclosure
+Hiring: https://<your-domain>/karriere
+
+# Pre-Deploy-Verify:
+#   curl -s https://<your-domain>/.well-known/security.txt | \
+#     grep -E '\{\{|<[A-Z_]+>|YOUR_|AGENT:|ASSISTANT:|TODO:|FIXME:|placeholder' && \
+#     echo "🔴 KRITISCH — unrendered Template" || echo "✓ clean"
+#
+# Expires-Datum: alle 6-12 Monate updaten. Das Datum ist hier ein Lehrbuch-Wert
+# und MUSS vom Operator vor Deploy gesetzt werden. RFC 9116 verlangt < 1 Jahr.

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-EN-international.md

@@ -0,0 +1,267 @@
+# Data Processing Agreement (DPA) — International / EN
+
+**Version**: v1.0 (2026-05-05)
+**Template type**: Article 28 GDPR Data Processing Agreement, designed for cross-border vendor onboarding (US-based SaaS vendors: Cloudflare, AWS, Vercel, Supabase, Stripe, major-LLM-providers, etc.)
+**Disclaimer**: This template does not constitute legal advice within the meaning of § 2 RDG (German Legal Services Act) or equivalent statutes. Individual legal review is required prior to production use, in particular for the third-country transfer constellation, sub-processor chain and sector-specific requirements.
+
+---
+
+## Parties
+
+**Data Controller** (hereinafter: "Controller"):
+
+> <Company / Name>
+> <Address>
+> <Authorized representative: name, function>
+> <VAT-ID / Commercial register>
+> Data Protection Officer: <name + contact> (where appointed under Art. 37 GDPR)
+
+**Data Processor** (hereinafter: "Processor"):
+
+> <Company / Name>
+> <Address>
+> <Authorized representative: name, function>
+> <VAT-ID / Commercial register>
+> Data Protection Officer: <name + contact>
+> EU Representative under Art. 27 GDPR: <name + contact> (where Processor is established outside EU/EEA)
+
+— hereinafter jointly: "the Parties" —
+
+---
+
+## Recitals
+
+(A) The Parties have entered into a master agreement on <date> regarding <description of services — e.g., "the provision of cloud hosting services", "SaaS analytics platform", "AI inference API"> ("Main Agreement").
+
+(B) In the course of performing the Main Agreement, the Processor processes personal data on behalf of the Controller within the meaning of Art. 4(8) GDPR.
+
+(C) This Data Processing Agreement ("DPA") sets out the obligations of the Parties pursuant to Art. 28(3) GDPR. Where the Controller is subject to UK GDPR, Swiss revFADP or other adequate-equivalent regimes, the corresponding annexes apply (see § 10).
+
+(D) In the event of a conflict between the Main Agreement and this DPA, this DPA prevails to the extent that data-protection obligations are concerned.
+
+---
+
+## § 1 Subject Matter and Duration (Art. 28(3)(a) GDPR)
+
+**1.1 Subject matter**: The Processor processes personal data on behalf of the Controller for the purpose of providing the services agreed upon in the Main Agreement and described in **Annex I**.
+
+**1.2 Duration**: This DPA enters into force on <effective date> and remains in effect for the term of the Main Agreement, ending no later than upon completion of return or deletion obligations under § 9.
+
+---
+
+## § 2 Nature and Purpose of Processing
+
+**2.1**: Nature, scope, and purpose of processing are detailed in **Annex I**.
+
+**2.2**: The Processor shall not process personal data for its own purposes, in particular for marketing, profiling, or analytics outside the scope of the Main Agreement, unless explicitly described in **Annex I** and lawful under Art. 6 GDPR.
+
+**2.3 AI/ML training data prohibition** (where applicable): The Processor shall not use the Controller's personal data to train, retrain, or fine-tune machine-learning models without the Controller's explicit prior written consent, irrespective of whether such use would otherwise be lawful.
+
+---
+
+## § 3 Categories of Personal Data and Data Subjects
+
+**3.1**: The categories of personal data processed and categories of data subjects are listed in **Annex I**.
+
+**3.2 Special categories**: Processing of special categories of personal data under Art. 9 GDPR or criminal-conviction data under Art. 10 GDPR shall occur **<only as expressly listed in Annex I / not at all>**. Where applicable, enhanced TOMs under **Annex II** apply.
+
+---
+
+## § 4 Obligations of the Processor (Art. 28(3)(b)–(h) GDPR)
+
+**4.1 Documented instructions (Art. 28(3)(a), Art. 29 GDPR)**: The Processor shall process personal data only on documented instructions from the Controller, including with regard to international transfers, unless required to do so by Union or Member State law. The Processor shall inform the Controller of such legal requirement before processing, unless prohibited by that law on important grounds of public interest. If the Processor considers an instruction to infringe applicable data-protection law, it shall inform the Controller without undue delay.
+
+**4.2 Confidentiality (Art. 28(3)(b))**: The Processor ensures that persons authorised to process personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality. The obligation survives termination of employment.
+
+**4.3 Security of processing (Art. 28(3)(c), Art. 32)**: The Processor implements the technical and organisational measures set out in **Annex II**.
+
+**4.4 Sub-processors (Art. 28(2), (4))**: As governed by § 6.
+
+**4.5 Assistance with data-subject rights (Art. 28(3)(e))**: The Processor shall, taking into account the nature of the processing, assist the Controller by appropriate technical and organisational measures, insofar as possible, in fulfilling the Controller's obligation to respond to data-subject requests under Chapter III GDPR. The Processor shall forward any data-subject request received directly to the Controller within **<72 hours / 5 business days>** without responding itself, unless instructed otherwise.
+
+**4.6 Assistance with Controller obligations (Art. 28(3)(f))**: The Processor shall assist the Controller in ensuring compliance with Art. 32–36 GDPR, in particular with security of processing, breach notification, breach communication, DPIA, and prior consultation.
+
+**4.7 Personal-data-breach notification (Art. 33(2))**: The Processor shall notify the Controller of any personal-data breach without undue delay, no later than **24 hours** after becoming aware of the breach. The notification shall contain at minimum:
+
+a) description of the nature of the breach (categories and approximate number of data subjects + records),
+b) name and contact details of the DPO or other contact point,
+c) likely consequences of the breach,
+d) measures taken or proposed to address the breach.
+
+**4.8 Return / deletion (Art. 28(3)(g))**: As governed by § 9.
+
+**4.9 Audits (Art. 28(3)(h))**: As governed by § 8.
+
+**4.10 Records of processing (Art. 30(2))**: The Processor maintains records of all categories of processing activities carried out on behalf of the Controller and makes them available to the Controller and the supervisory authority upon request.
+
+**4.11 EU Representative (Art. 27)**: Where the Processor has no establishment in the EU/EEA, it shall designate in writing a representative in the Union and provide contact details to the Controller.
+
+---
+
+## § 5 Technical and Organisational Measures (Art. 32 GDPR)
+
+**5.1**: The Processor implements at the time of contract conclusion the technical and organisational measures described in **Annex II**, ensuring a level of security appropriate to the risk.
+
+**5.2**: The TOMs are reviewed at least **annually** and adapted to the state of the art and changing risk landscape. Material changes shall be communicated to the Controller in writing prior to implementation.
+
+**5.3 Encryption**: Data in transit shall be encrypted using TLS ≥ 1.2 (preferably 1.3); data at rest shall be encrypted using AES-256 or equivalent.
+
+**5.4 Resilience and recovery**: RPO/RTO targets and backup strategy are documented in **Annex II**.
+
+---
+
+## § 6 Sub-Processors (Art. 28(2), (4) GDPR)
+
+**6.1 General authorisation**: The Controller grants **<general / specific>** prior authorisation for the engagement of sub-processors. The sub-processors engaged at the time of contract conclusion are listed exhaustively in **Annex III**.
+
+**6.2 Notification of changes**: The Processor shall notify the Controller at least **30 calendar days** in advance of any intended addition or replacement of sub-processors, providing name, address, processing activity and location.
+
+**6.3 Right to object**: The Controller may object to such changes within **14 calendar days** for legitimate data-protection reasons. If no agreement is reached, the Controller may terminate the affected services for cause.
+
+**6.4 Flow-down**: The Processor shall impose on each sub-processor, by way of a written contract, the same data-protection obligations as set out in this DPA, in particular providing sufficient guarantees to implement appropriate TOMs.
+
+**6.5 Liability**: Where a sub-processor fails to fulfil its data-protection obligations, the Processor remains fully liable to the Controller for the performance of the sub-processor's obligations.
+
+**6.6 Third-country sub-processors**: Where a sub-processor is located in a third country without an adequacy decision under Art. 45 GDPR, the Processor shall conclude appropriate safeguards under Art. 46 GDPR (in particular SCC Module 3 — see **Annex IV**) and conduct a Transfer Impact Assessment.
+
+---
+
+## § 7 Cooperation with Data Subjects and Authorities
+
+**7.1**: The Parties shall cooperate in good faith and provide each other with relevant documentation in the event of data-subject claims under Art. 82 GDPR or supervisory-authority inquiries under Art. 58 GDPR.
+
+**7.2 Costs**: Cost of assistance shall be governed by the Main Agreement; first-line measures necessary to safeguard data-subject rights are not separately chargeable where caused by Processor's breach.
+
+---
+
+## § 8 Audits (Art. 28(3)(h) GDPR)
+
+**8.1**: The Processor shall make available to the Controller all information necessary to demonstrate compliance with the obligations laid down in this DPA, including ISO 27001 certificates, SOC 2 Type II reports, BSI-Grundschutz attestations, or equivalent.
+
+**8.2**: The Controller (or a qualified third-party auditor mandated by the Controller) shall be entitled to audit the Processor's compliance, in accordance with one of the audit variants set out in **Annex V (Audit Variants)**:
+
+- **Variant A**: On-site audit
+- **Variant B**: Remote audit (document and system review)
+- **Variant C**: SOC 2 / ISO 27001 surrogate audit (acceptance of third-party-auditor report)
+
+**8.3 Frequency**: Audits occur **<annually / on a risk-based cadence>**, plus additional audits triggered by reasonable suspicion or following a personal-data breach.
+
+**8.4 Notice and confidentiality**: Audits require at least **14 calendar days** prior notice (except in cause-driven cases), shall preserve confidentiality, and shall not unreasonably disrupt business operations.
+
+**8.5 Costs**: Each Party bears its own costs. If material non-compliance is identified, the Processor bears the reasonable auditor costs.
+
+---
+
+## § 9 Return and Deletion of Data (Art. 28(3)(g) GDPR)
+
+**9.1**: Upon termination of the services — at the latest **<30 / 60 / 90> calendar days** after termination — the Processor shall, at the Controller's option:
+
+a) **return** all personal data in a machine-readable, structured format (JSON, CSV, XML, etc.), or
+b) **delete** all personal data and confirm deletion in writing.
+
+**9.2 Backup deletion**: Personal data in backup systems shall be deleted within **<90 / 180> calendar days** or, until deletion, isolated from access.
+
+**9.3 Statutory retention**: Where Union or Member State law requires retention (e.g., German Commercial Code §§ 257, 147 AO), processing shall be restricted under Art. 18 GDPR; data shall be deleted upon expiry of retention obligations.
+
+**9.4 Deletion certificate**: Upon request, the Processor provides a deletion certificate covering all copies including those at sub-processors.
+
+---
+
+## § 10 International Transfers (Chapter V GDPR)
+
+**10.1**: Transfers to third countries occur only on documented instructions from the Controller or where required by law.
+
+**10.2 Safeguards**: Where no adequacy decision exists, the Parties rely on the following safeguards (as applicable):
+
+- **EU/EEA / adequacy**: no additional safeguards required.
+- **EU-US Data Privacy Framework**: active certification of recipient must be verified at https://www.dataprivacyframework.gov.
+- **Other third country**: SCC 2021/914 Module 2 (Controller→Processor) or Module 3 (Processor→Sub-processor) — see **`AVV-anhang-SCC-module2-controller-processor.md`** / **`AVV-anhang-SCC-module3-processor-subprocessor.md`**.
+- **United Kingdom**: UK International Data Transfer Addendum — see **`AVV-anhang-UK-IDTA.md`**.
+- **Switzerland**: Swiss revFADP addendum — see **`AVV-anhang-CH-revDSG.md`**.
+
+**10.3 Transfer Impact Assessment (TIA)**: The Processor, in coordination with the Controller, shall conduct a TIA per EDPB Recommendations 01/2020 prior to any transfer relying on Art. 46 safeguards, and document the result.
+
+**10.4 Government access requests**: If the Processor receives a legally binding request from a third-country authority for disclosure of personal data, it shall notify the Controller without undue delay (where legally permissible) and challenge the request through all available legal means.
+
+**10.5 SCC incorporation by reference**: The Standard Contractual Clauses 2021/914 Module 2 (Controller→Processor) are hereby incorporated by reference and govern the transfer with respect to non-adequacy third countries. The annexes to the SCCs are populated as set out in **`AVV-anhang-SCC-module2-controller-processor.md`**.
+
+---
+
+## § 11 Liability
+
+**11.1**: The Parties are jointly and severally liable to data subjects under Art. 82 GDPR.
+
+**11.2 Internal allocation**: As between the Parties, each bears the share of damage corresponding to its responsibility. Sub-processor breaches are attributed to the Processor under § 6.5.
+
+**11.3 Administrative fines**: Fines under Art. 83 GDPR are borne by the Party to which the breach is attributable.
+
+**11.4 Liability caps**: Liability caps in the Main Agreement do not apply to GDPR-mandated liabilities to the extent statutory law prohibits limitation.
+
+---
+
+## § 12 Final Provisions
+
+**12.1 Form**: Amendments require text form; Art. 28(9) GDPR permits electronic form.
+
+**12.2 Severability**: If any provision of this DPA is held invalid, the remaining provisions remain in effect.
+
+**12.3 Governing law**: This DPA is governed by the laws of **<Germany / Member State of Controller's establishment>**, without prejudice to mandatory provisions of the GDPR.
+
+**12.4 Jurisdiction**: Exclusive jurisdiction lies with the courts of **<Controller's seat>**, where both Parties are commercial entities.
+
+**12.5 Precedence**: This DPA prevails over conflicting provisions of the Main Agreement on matters of data protection.
+
+---
+
+## Annexes
+
+| Annex | Title | Reference |
+|-------|-------|-----------|
+| I | Description of processing | (embedded — analogous to SCC Annex I) |
+| II | Technical and organisational measures (Art. 32 GDPR) | `AVV-anhang-TOMs.md` |
+| III | List of sub-processors | `AVV-anhang-Sub-Processor-List.md` |
+| IV | International-transfer modules | `AVV-anhang-SCC-module2-controller-processor.md` / `…-module3-processor-subprocessor.md` / `…-UK-IDTA.md` / `…-CH-revDSG.md` |
+| V | Audit-clause variants | `AVV-anhang-Audit-Klausel-Varianten.md` |
+
+---
+
+## Annex I — Description of Processing
+
+**I.1 Nature and purpose**:
+> <e.g., "Hosting and provision of the SaaS analytics platform XYZ including database, backup and support services, for the purpose of fulfilling the Main Agreement.">
+
+**I.2 Categories of personal data**:
+> <e.g., master data (name, address, email), contract data, usage data (login timestamps, IP), communication data, payment data via external PSP per Annex III.>
+
+**I.3 Special categories (Art. 9/10 GDPR)**:
+> <none / description with enhanced TOMs per Annex II>
+
+**I.4 Categories of data subjects**:
+> <Customers, employees, suppliers, app end-users, website visitors, …>
+
+**I.5 Frequency of transfer**:
+> <continuous / one-off / periodic>
+
+**I.6 Retention period**:
+> <duration of contract + 30 days / per statutory retention period>
+
+**I.7 Processing locations**:
+> <data-centre regions; sub-processor locations per Annex III>
+
+**I.8 Recipients / categories of recipients**:
+> <internal staff of Processor; sub-processors per Annex III>
+
+**I.9 Third-country transfers**:
+> <yes / no; safeguard mechanism per Annex IV>
+
+---
+
+**Place, date, signatures**:
+
+> _______________________________
+> Controller: <name, function>
+> Place, date
+
+> _______________________________
+> Processor: <name, function>
+> Place, date

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-Audit-Klausel-Varianten.md

@@ -0,0 +1,148 @@
+# Anhang D — Audit-Klausel-Varianten
+
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Art. 28 Abs. 3 lit. h DSGVO; § 8 AVV (siehe `AVV-standard-DE.md`).
+**Anwendungsfall**: Anhang D des AVV; eine der drei Varianten ist zu wählen — abhängig von Risiko, Vendor-Maturität und Verantwortlichen-Ressourcen.
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG. Audit-Rechte sind unabdingbarer DSGVO-Pflichtbestandteil; Verzicht oder pauschale Verweigerung durch den Auftragsverarbeiter ist unwirksam.
+
+---
+
+## Übersicht — Wann welche Variante?
+
+| Variante | Geeignet für | Risiko-Profil | Aufwand Verantwortlicher |
+|----------|--------------|---------------|--------------------------|
+| **A. Vor-Ort-Audit** | Hochrisiko-Verarbeitung; sensible Daten Art. 9/10; Großmengen-Verarbeitung; spezifische Bedenken | hoch | hoch (Reise + Auditor + Zeit) |
+| **B. Remote-Audit** | Standard-SaaS; mittleres Risiko; etablierte Vendoren ohne aktive Vorfälle | mittel | mittel |
+| **C. SOC-2- / ISO-27001-Stellvertreter-Audit** | Cloud-Hyperscaler (AWS, GCP, Azure); zertifizierte Großvendoren mit gut etabliertem Trust-Center | niedrig–mittel | niedrig |
+
+**Praxis-Empfehlung**: Hybrid — Variante C als Default, Variante B bei begründetem Verdacht, Variante A nur bei Vorfall oder substanziellem Risiko.
+
+---
+
+## Variante A — Vor-Ort-Audit
+
+**Klausel-Wortlaut**:
+
+> Der Verantwortliche hat das Recht, durch von ihm selbst oder durch einen von ihm beauftragten qualifizierten Dritten (z. B. Wirtschaftsprüfer, IT-Sicherheits-Auditor, akkreditierter Datenschutz-Auditor) **Vor-Ort-Audits** an den Verarbeitungs-Standorten des Auftragsverarbeiters durchzuführen.
+>
+> 1. **Häufigkeit**: einmal jährlich; anlassbezogen darüber hinaus bei (a) begründetem Verdacht eines DSGVO-Verstoßes, (b) Datenschutzvorfall mit Bezug zur Verarbeitung, (c) Aufsichtsbehörden-Anordnung.
+> 2. **Vorlauffrist**: mindestens **14 Kalendertage** in Textform; bei Anlassfällen mindestens **48 Stunden**.
+> 3. **Umfang**: Einsicht in TOMs-Implementierung, Audit-Logs, Sub-Auftragsverarbeiter-Verträge, Datenschutz-Schulungs-Nachweise, Backup-Restore-Tests, Berechtigungs-Reviews — soweit für die im Auftrag erfolgende Verarbeitung relevant.
+> 4. **Auditor-Qualifikation**: Auditor verpflichtet sich auf Vertraulichkeit (NDA); fachliche Qualifikation durch Zertifizierung (CISA, CIPP/E, Datenschutzbeauftragten-Zertifikat o. ä.) nachgewiesen.
+> 5. **Mitwirkungspflicht**: Auftragsverarbeiter stellt zumutbare Räumlichkeiten + Zugang zu Mitarbeitern + Systemen bereit.
+> 6. **Beschränkungen**: Audit darf den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen; Einsicht in fremde Mandanten-Daten wird durch geeignete Maßnahmen ausgeschlossen (Mandanten-Trennung, anonymisierte Test-Daten).
+> 7. **Kosten**: Jede Partei trägt eigene Kosten. Bei Feststellung wesentlicher Mängel trägt der Auftragsverarbeiter die angemessenen Auditor-Kosten zusätzlich.
+> 8. **Bericht**: Auditor erstellt Bericht; Auftragsverarbeiter erhält Mängel-Liste mit Frist zur Behebung (i. d. R. 30 Kalendertage; bei kritischen Mängeln 7 Tage).
+
+**Pros**:
+- Tiefste Einsicht; nichts versteckt
+- Direkte Kommunikation mit Operations-/Security-Team
+- Höchste Glaubwürdigkeit für eigene Compliance-Dokumentation
+
+**Cons**:
+- Hoher logistischer Aufwand (Reise, Termin-Koordination, Auditor-Honorar)
+- Operatives Risiko für Auftragsverarbeiter (Geschäftsstörung)
+- Bei Cloud-Hyperscalern unrealistisch (RZ-Zugang nicht für Einzelkunden)
+
+---
+
+## Variante B — Remote-Audit
+
+**Klausel-Wortlaut**:
+
+> Der Verantwortliche hat das Recht, durch von ihm selbst oder durch einen von ihm beauftragten qualifizierten Dritten **Remote-Audits** durchzuführen — bestehend aus:
+>
+> a) Dokumentenprüfung (TOM-Beschreibung, Verfahrensverzeichnis Auftragsverarbeiter, Sub-Auftragsverarbeiter-Verträge, Audit-Log-Auszüge, Pen-Test-Berichte, Sicherheits-Zertifikate);
+> b) System-Review per Screen-Sharing oder Remote-Inspection (Konfigurations-Walkthrough, Audit-Log-Demo, Berechtigungs-Matrix-Demo);
+> c) Schriftlichem Fragenkatalog mit dokumentierter Beantwortung (z. B. CAIQ — Consensus Assessment Initiative Questionnaire der Cloud Security Alliance).
+>
+> 1. **Häufigkeit**: einmal jährlich + anlassbezogen.
+> 2. **Vorlauffrist**: mindestens **10 Kalendertage** in Textform.
+> 3. **Beantwortungsfrist** für Fragenkatalog: **30 Kalendertage**.
+> 4. **Sample-Auditing**: Auditor wählt Stichproben (z. B. zufällige Berechtigungs-Reviews, Audit-Log-Auszüge eines Zeitfensters, Backup-Restore-Demo).
+> 5. **Vertraulichkeit**: NDA für Auditor; geheime Geschäftsinformationen werden geschützt (Schwärzung, sample-only).
+> 6. **Kosten** + **Bericht**: wie Variante A.
+> 7. **Eskalations-Recht**: Bei begründetem Zweifel an der Belastbarkeit der Remote-Antworten kann der Verantwortliche auf Variante A (Vor-Ort) eskalieren.
+
+**Pros**:
+- Wesentlich geringerer logistischer Aufwand
+- Weltweit durchführbar
+- Geschäftsbetrieb beim Auftragsverarbeiter weniger gestört
+
+**Cons**:
+- Weniger Tiefe als Vor-Ort-Audit
+- Manipulation von Demo-Antworten theoretisch möglich (durch Stichproben + Eskalations-Recht abgemildert)
+- Erfordert mature Dokumentations-Lage beim Auftragsverarbeiter
+
+---
+
+## Variante C — SOC-2- / ISO-27001-Stellvertreter-Audit
+
+**Klausel-Wortlaut**:
+
+> Der Verantwortliche akzeptiert als Nachweis der Einhaltung der TOMs den **aktuellen, durch unabhängigen Drittprüfer erstellten Audit-Bericht** des Auftragsverarbeiters, sofern folgende Voraussetzungen erfüllt sind:
+>
+> 1. **Akzeptierte Standards**:
+>    - SOC 2 Type II (AICPA, mindestens "Security" Trust Service Criterion; idealerweise zusätzlich "Confidentiality" + "Privacy"),
+>    - ISO/IEC 27001:2022 (durch akkreditierte Zertifizierungsstelle),
+>    - BSI IT-Grundschutz (für DE-Verantwortliche),
+>    - branchenspezifische Standards (TISAX für Automotive, KRITIS-Audit für kritische Infrastrukturen, PCI-DSS Level 1 für Zahlungsdaten).
+> 2. **Aktualität**: Bericht nicht älter als **12 Monate**.
+> 3. **Scope-Match**: Audit-Scope umfasst die im Auftrag durchgeführten Verarbeitungs-Tätigkeiten + Standorte.
+> 4. **Bridge-Letter**: bei Ablauf der Re-Zertifizierung schriftliche Bestätigung des Auftragsverarbeiters, dass keine wesentlichen Änderungen seit dem letzten Audit bestehen.
+> 5. **Zugang**: Auftragsverarbeiter stellt Bericht (oder zumindest "Public Bericht" + auf Anforderung "Customer Bericht" unter NDA) binnen **5 Werktagen** bereit.
+> 6. **Komplementäre Maßnahmen**: Bei Gap zwischen Audit-Scope und tatsächlicher Verarbeitung unterzieht sich Auftragsverarbeiter einer ergänzenden Variante-A- oder B-Prüfung für die Lücken.
+> 7. **Eskalations-Recht**: Bei substantiellen Findings im Drittprüfer-Bericht oder bei Datenschutzvorfall kann Verantwortlicher auf Variante A oder B eskalieren — Drittprüfer-Bericht ersetzt dann nicht das Anlass-Audit.
+
+**Pros**:
+- Skalierbar — selbst Cloud-Hyperscaler akzeptierbar (AWS / GCP / Azure publizieren SOC 2 Type II)
+- Geringster Aufwand für Verantwortlichen
+- Drittprüfer-Glaubwürdigkeit höher als Selbst-Auskunft des Auftragsverarbeiters
+- Industrie-Standard für SaaS-Vendor-Onboarding
+
+**Cons**:
+- Scope-Match nicht immer gegeben (Bericht oft generisch, nicht auftragsspezifisch)
+- Keine direkte Tiefen-Einsicht in operatives Verhalten
+- Bridge-Letter zwischen Re-Audits hat Vertrauens-Charakter
+- Bei Datenschutzvorfall reicht ein zertifizierter Status nicht — Anlass-Audit (Variante A/B) bleibt erforderlich
+
+---
+
+## Hybrid-Modell — Empfehlung
+
+**Empfohlene Default-Klausel** für Multi-Vendor-Setups:
+
+> 1. **Standardfall**: Variante C — Drittprüfer-Bericht (jährlich aktualisiert).
+> 2. **Bei begründetem Verdacht oder Datenschutzvorfall**: Eskalation auf Variante B (Remote-Audit) binnen 30 Tagen ab Anlass.
+> 3. **Bei substanzieller Fortdauer der Bedenken oder bei kritischen Findings**: Eskalation auf Variante A (Vor-Ort-Audit).
+> 4. **Bei sensiblen Daten Art. 9/10 DSGVO oder Großmengen-Verarbeitung**: jährliches Variante-B-Audit zusätzlich zum Drittprüfer-Bericht.
+
+---
+
+## Audit-Rechte gegenüber Sub-Auftragsverarbeitern
+
+Der Auftragsverarbeiter hat **eigene Audit-Rechte** gegenüber seinen Sub-Auftragsverarbeitern (Art. 28 Abs. 4 DSGVO). Bei begründetem Audit-Anliegen des Verantwortlichen gegen einen Sub-Auftragsverarbeiter:
+
+1. **Erstweg**: Auftragsverarbeiter führt Audit selbst durch + leitet Ergebnis weiter.
+2. **Zweitweg (Step-In-Right)**: Verantwortlicher kann bei begründeter Eskalation eine direkte Audit-Vereinbarung mit Sub-Auftragsverarbeiter verlangen — entweder über Auftragsverarbeiter delegiert oder durch zusätzliche Vereinbarung.
+
+---
+
+## Audit-Dokumentation — Pflicht-Inhalte
+
+Jedes Audit (egal welche Variante) endet mit einem schriftlichen Bericht mit Mindest-Inhalten:
+
+- ☐ Audit-Datum + Auditor-Identität + Qualifikation
+- ☐ Audit-Scope (welche Verarbeitungs-Tätigkeiten, welche Standorte)
+- ☐ Audit-Methode (Vor-Ort / Remote / Drittprüfer-Bericht-Review)
+- ☐ Stichproben + Ergebnisse
+- ☐ Identifizierte Mängel mit Severity-Einstufung (Critical / High / Medium / Low)
+- ☐ Frist zur Behebung pro Mangel
+- ☐ Status-Updates bis Abschluss aller Maßnahmen
+- ☐ Re-Audit-Datum (bei kritischen Mängeln nach Behebung)
+
+---
+
+## Versionierungs-Hinweis
+
+> Audit-Klausel-Varianten werden im AVV durch ankreuzen / verweisen verbindlich gewählt. Wechsel der Variante während der Vertragslaufzeit erfordert beidseitige Zustimmung in Textform (Vertragsanpassung).

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/AVV-anhang-CH-revDSG.md

@@ -0,0 +1,127 @@
+# Anhang E4 — Schweizer Anhang (revDSG / FADP)
+
+**Version**: v1.0 (2026-05-05)
+**Rechtsgrundlage**: Bundesgesetz über den Datenschutz (DSG) vom 25. September 2020, in Kraft seit **1. September 2023** (revDSG); ergänzt durch die Datenschutzverordnung (DSV) und die Verordnung über Datenschutzzertifizierungen (VDSZ).
+**Anwendungsfall**: Übermittlung personenbezogener Daten von einem schweizerischen Verantwortlichen oder Auftragsbearbeiter in ein Drittland ohne Schweizer Angemessenheitsbeschluss (siehe SR 235.11 Anhang). Wird als **Anhang zu den EU-SCC 2021/914** verwendet (im Gleichklang mit EDÖB-Praxis seit 27. August 2021).
+**Disclaimer**: Keine Rechtsberatung im Sinne § 2 RDG / Art. 5 lit. c BGFA. Vor Verwendung anwaltliche Prüfung empfohlen — insbesondere zu juristischer Person als geschützte Betroffene (vor revDSG) und zur Auftragsbearbeiter-Definition (Art. 9 revDSG).
+**Quelle EDÖB**: https://www.edoeb.admin.ch
+
+---
+
+## Hinweis zur Verwendung
+
+Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat am 27. August 2021 mitgeteilt, dass die EU SCC 2021/914 als Garantie für Datenübermittlungen ins Ausland nach Schweizer Recht verwendbar sind, **sofern** spezifische Anpassungen vorgenommen werden. Dieser Anhang bildet diese Anpassungen ab.
+
+**Schlüssel-Unterschiede revDSG vs. DSGVO**:
+
+| Aspekt | DSGVO | revDSG |
+|--------|-------|--------|
+| Schutz juristischer Personen | nein | nein (seit 01.09.2023; vorher: ja im DSG 1992) |
+| Kategorien sensibler Daten | Art. 9: Gesundheit, Genetik, Biometrie, ethnische Herkunft, politische/religiöse Überzeugung, Gewerkschaft, Sexualität | Art. 5 lit. c: zusätzlich administrative/strafrechtliche Sanktionen + Sozialhilfe |
+| Verarbeitungsverzeichnis (Art. 30 DSGVO) | ab 250 MA / spezifische Risiken | nur ab 250 MA und bestimmte hochrisikoreiche Verarbeitung (Art. 12 revDSG) |
+| Bußgelder | bis 20 Mio EUR / 4 % Weltumsatz (gegen Unternehmen) | bis CHF 250'000 — gegen **natürliche Personen** (Geschäftsführung) (Art. 60 revDSG) |
+| Datenschutz-Folgenabschätzung | Art. 35 DSGVO | Art. 22 revDSG (Datenschutz-Folgenabschätzung) |
+| Meldefrist Datenpannen | 72 h | "**so rasch als möglich**" (Art. 24 revDSG; keine feste Frist) |
+| Rechte Betroffener | Auskunft, Berichtigung, Löschung, etc. | analog (Art. 25–32 revDSG) |
+| EU-Vertreter | Art. 27 DSGVO | Art. 14 revDSG — Vertretung erforderlich für ausländische Verantwortliche bei systematischen, umfangreichen oder hochrisikoreichen Verarbeitungen |
+
+---
+
+## Anpassungen der EU SCC 2021/914 für die Schweiz
+
+**Anpassung 1 — Definition "Verordnung (EU) 2016/679 / DSGVO"**:
+
+> Verweise auf "Verordnung (EU) 2016/679" oder "DSGVO" in den SCC werden — soweit Schweizer Daten betroffen sind — wie folgt ergänzt:
+>
+> *"Bei Übermittlungen, die ausschliesslich oder zusätzlich dem schweizerischen Bundesgesetz über den Datenschutz (revDSG) unterstehen, gelten die SCC sinngemäss; an die Stelle der DSGVO-Verweise tritt das revDSG bzw. die DSV. Auf Art. 4 Nr. 1 DSGVO Bezug nehmende Begriffe schliessen — soweit das revDSG dies vorsieht — den Schutz juristischer Personen ein, sofern die Daten vor dem 1. September 2023 erhoben wurden und Schutz juristischer Personen nach altem DSG noch nachwirkt."*
+
+**Anpassung 2 — Aufsichtsbehörde (Klausel 13)**:
+
+> An die Stelle der EU-Aufsichtsbehörde tritt der **Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)**:
+>
+> Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
+> Feldeggweg 1
+> CH-3003 Bern
+> https://www.edoeb.admin.ch
+>
+> Bei rein schweizerischen Übermittlungen ist der EDÖB allein zuständig. Bei Multi-Jurisdiktions-Übermittlungen (EU + CH) ist die EU-Aufsichtsbehörde zusätzlich zuständig für DSGVO-Aspekte.
+
+**Anpassung 3 — Anwendbares Recht (Klausel 17)**:
+
+> Für Übermittlungen aus der Schweiz ist Schweizer Recht anwendbar (anstelle EU-Mitgliedstaatsrecht).
+
+**Anpassung 4 — Gerichtsstand (Klausel 18)**:
+
+> Für Streitigkeiten unter schweizerischem Recht: zuständige schweizerische Gerichte (i. d. R. am Sitz des Datenexporteurs / Verantwortlichen).
+
+**Anpassung 5 — Drittbegünstigte (Klausel 3)**:
+
+> Ergänzung: Drittbegünstigtenrechte stehen auch betroffenen juristischen Personen zu, soweit nach altem DSG (vor 01.09.2023) erhoben und nachwirkende Schutzwirkung besteht.
+
+**Anpassung 6 — Verstoßmeldung**:
+
+> Klausel 8.6 / Modul-spezifische Pflichten zur Meldung von Datenschutzverletzungen werden ergänzt um die Pflicht des Verantwortlichen nach Art. 24 revDSG, dem EDÖB Datenpannen "**so rasch als möglich**" zu melden, wenn ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person besteht. Bei reinen Auftragsbearbeiterverhältnissen unterstützt der Auftragsbearbeiter den Verantwortlichen mit Informationen innerhalb von **24 Stunden** ab Kenntniserlangung.
+
+---
+
+## Annex I — Liste der Parteien (Schweizer Anpassung)
+
+**Datenexporteur (Verantwortlicher / Auftragsbearbeiter — Schweiz)**:
+
+| Feld | Angabe |
+|------|--------|
+| Name / Firma | <…> |
+| Anschrift | <Strasse, PLZ, Ort, Schweiz> |
+| Handelsregister-Nr. | <CHE-Nr.> |
+| Kontaktperson | <…> |
+| EU-Vertreter (sofern anwendbar) | <…> |
+| Datenschutzberater (Art. 10 revDSG, freiwillig) | <…> |
+
+**Datenimporteur** (Drittland): wie in EU SCC Annex I.A.
+
+---
+
+## Annex II + III
+
+> **Verweis**: TOM-Katalog → `AVV-anhang-TOMs.md`; Sub-Auftragsverarbeiter-Liste → `AVV-anhang-Sub-Processor-List.md`.
+
+Mindest-Schutzniveau identisch mit EU-Standard; zusätzlich:
+
+- **Art. 8 revDSG (Datensicherheit)**: angemessene Massnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs und der Risiken.
+- **Art. 22 revDSG (DSFA)**: Bei hohem Risiko für Persönlichkeit oder Grundrechte ist Datenschutz-Folgenabschätzung durchzuführen — analog Art. 35 DSGVO.
+
+---
+
+## Schweizer Adäquanz-Liste (Stand: 2026)
+
+> Schweizer Anhang nicht erforderlich für Übermittlungen in folgende Länder mit Schweizer Angemessenheitsbeschluss (SR 235.11 Anhang 1):
+>
+> EWR-Staaten, Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada (für Empfänger mit kommerzieller Tätigkeit unter PIPEDA), Monaco, Neuseeland, Südkorea, UK, Uruguay.
+>
+> **USA**: Schweizer Pendant zum EU-US DPF — **Swiss-U.S. Data Privacy Framework** (in Kraft seit 15. September 2024) — aktive Zertifizierung erforderlich; Prüfung auf https://www.dataprivacyframework.gov.
+
+---
+
+## TIA für CH-Übermittlungen
+
+EDÖB-Empfehlung: TIA analog EDPB Recommendations 01/2020 durchführen, ergänzt um die Schweizer Bewertungs-Kriterien:
+
+1. Schutz juristischer Personen (für Altdaten vor 01.09.2023) berücksichtigen.
+2. Sensible Daten nach Art. 5 lit. c revDSG (administrative/strafrechtliche Sanktionen, Sozialhilfe) zusätzlich zu DSGVO Art. 9.
+3. EDÖB-Mitteilungen zur Drittlands-Übermittlung beachten (insb. zur Adequacy-Liste).
+
+---
+
+## Multi-Jurisdiction-Setup
+
+Beim Multi-Jurisdiktions-Vertrag (EU + UK + CH) gilt die folgende Hierarchie:
+
+1. **EU SCC 2021/914 Module 2** — primärer Klauselsatz für DSGVO-Übermittlungen.
+2. **UK IDTA Addendum** — Anpassung für UK GDPR-Übermittlungen (siehe `AVV-anhang-UK-IDTA.md`).
+3. **CH-Anhang (dieses Dokument)** — Anpassung für revDSG-Übermittlungen.
+
+Bei Konflikt zwischen den Anhängen gilt die jeweils strengste Schutzregel.
+
+---
+
+**Unterzeichnung**: gemeinsam mit den EU SCC; gesonderter Anhang bildet integralen Vertragsbestandteil.