npm - @aegis-scan/skills - Versions diffs - 0.4.0 → 0.5.1 - Mend

@aegis-scan/skills 0.4.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (386) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/templates-avv-layer/Joint-Controller-Vertrag-Art-26.md ADDED Viewed

@@ -0,0 +1,265 @@
+# Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (Joint Controller Agreement)
+**Version**: v1.0 (2026-05-05)
+**Vorlagen-Typ**: Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) — **NICHT Auftragsverarbeitung** (Art. 28 DSGVO; siehe `AVV-standard-DE.md`)
+**Disclaimer**: Diese Vorlage stellt keine Rechtsberatung im Sinne § 2 RDG dar. Vor produktiver Verwendung individuelle anwaltliche Prüfung erforderlich. Die Abgrenzung Auftragsverarbeitung ↔ gemeinsame Verantwortlichkeit ist hochsensibel; eine Fehl-Klassifizierung kann erhebliche aufsichtsrechtliche Folgen haben (siehe EuGH "Fashion ID" C-40/17, "Wirtschaftsakademie Schleswig-Holstein" C-210/16, "Jehovan todistajat" C-25/17).
+---
+## Vorabgrenzung — Wann gilt Art. 26 DSGVO?
+**Gemeinsame Verantwortlichkeit** liegt vor, wenn **zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen** (Art. 26 Abs. 1 DSGVO).
+| Konstellation | Klassifikation | Vertrags-Vorlage |
+|---------------|----------------|------------------|
+| Eine Partei legt Zwecke + Mittel fest, andere Partei verarbeitet weisungsgebunden | **Auftragsverarbeitung** Art. 28 | `AVV-standard-DE.md` |
+| Beide Parteien legen Zwecke ODER Mittel **gemeinsam** fest | **gemeinsame Verantwortung** Art. 26 | dieses Dokument |
+| Beide Parteien verarbeiten dieselben Daten, aber **getrennt** und für **eigene Zwecke** | **getrennte Verantwortlichkeiten** (kein Art. 26-Vertrag) | i. d. R. nur Datenschutzhinweise |
+| Konzern-interne Datenflüsse | Einzelfall: oft Art. 26 oder gemeinsame Verarbeitungsverbund | Joint-Controller-Vertrag oder BCR |
+**Typische Anwendungsfälle Art. 26 DSGVO**:
+- Social-Plugin-Einbindung auf Website (Fashion ID)
+- Co-Marketing-Aktion zweier Unternehmen mit gemeinsamem Lead-Pool
+- Plattform-Anbieter + Plattform-Nutzer mit geteilter Daten-Hoheit (Wirtschaftsakademie / Facebook-Fanpage)
+- Konzern-interne Geschäftspartner-Datenbank
+- Forschungs-Konsortium mit gemeinsamer Datenbank
+- Affiliate-Partnerprogramm mit Tracking
+- Federated-Identity-Anbindungen
+---
+## Vertragsparteien
+**Gemeinsam Verantwortlicher A** (im Folgenden: „Verantwortlicher A"):
+> <Firma / Name>
+> <Anschrift>
+> <Vertretungsberechtigt>
+> <USt-IdNr / HRB>
+> Datenschutzbeauftragter: <Name + Kontakt>
+**Gemeinsam Verantwortlicher B** (im Folgenden: „Verantwortlicher B"):
+> <Firma / Name>
+> <Anschrift>
+> <Vertretungsberechtigt>
+> <USt-IdNr / HRB>
+> Datenschutzbeauftragter: <Name + Kontakt>
+> *Bei mehr als zwei Parteien: weitere Verantwortliche analog (Verantwortlicher C, D, …).*
+— im Folgenden gemeinsam: „die Parteien" oder „gemeinsam Verantwortliche" —
+---
+## Präambel
+Die Parteien beabsichtigen die **gemeinsame Verarbeitung** personenbezogener Daten im Rahmen der in **§ 1** beschriebenen Verarbeitungs-Tätigkeit. Da die Parteien gemeinsam Zwecke und Mittel der Verarbeitung festlegen, sind sie **gemeinsam Verantwortliche** im Sinne des Art. 26 DSGVO. Diese Vereinbarung regelt in transparenter Form die Verteilung der DSGVO-Pflichten und ist Vertragsbestandteil. Wesentliche Inhalte werden den betroffenen Personen gemäß Art. 26 Abs. 2 Satz 2 DSGVO in geeigneter Form zur Verfügung gestellt.
+---
+## § 1 Gegenstand der gemeinsamen Verarbeitung
+**§ 1.1 Beschreibung**: Gegenstand der gemeinsamen Verarbeitung ist:
+> <z. B. „Co-Marketing-Kampagne zur Akquise gemeinsamer Leads über eine geteilte Landing-Page mit Lead-Formular, dessen Eingaben in einem gemeinsamen CRM-System beider Parteien gespeichert und beworben werden."
+>
+> oder „Betrieb einer Affiliate-Plattform, auf der Verantwortlicher A die Tracking-Infrastruktur stellt und Verantwortlicher B Affiliate-Partner verwaltet; beide Parteien werten Conversion-Daten gemeinsam aus.">
+**§ 1.2 Festlegung gemeinsamer Zwecke und Mittel**: Die gemeinsam festgelegten Zwecke und Mittel umfassen:
+a) Zwecke:
+> <z. B. „Lead-Akquise, Marketing-Erfolgsmessung, gemeinsame Direktansprache der Betroffenen.">
+b) Mittel:
+> <z. B. „Gemeinsame Datenbank XYZ; gemeinsam definierte Datenfelder; gemeinsame Tracking-Pixel; gemeinsam vereinbarte Speicherdauer.">
+**§ 1.3 Rechtsgrundlage**: Die Verarbeitung stützt sich auf folgende Rechtsgrundlage(n) nach Art. 6 DSGVO (jeweils zu spezifizieren):
+- ☐ Einwilligung (Art. 6 Abs. 1 lit. a) — Wer holt sie ein? <…>
+- ☐ Vertragserfüllung (Art. 6 Abs. 1 lit. b) — Welcher Vertrag? <…>
+- ☐ Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Welche? <…>
+- ☐ Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Interesse + Abwägung <…>
+---
+## § 2 Aufgabenverteilung — Wer übernimmt welche DSGVO-Pflicht? (Art. 26 Abs. 1 Satz 2 DSGVO)
+**§ 2.1 Information der Betroffenen (Art. 13/14 DSGVO)**:
+| Pflicht | Verantwortlicher A | Verantwortlicher B |
+|---------|---------------------|---------------------|
+| Bereitstellung Datenschutzinformation auf Website / im UI | ☐ | ☐ |
+| Bereitstellung "wesentlicher Inhalt" dieses Joint-Controller-Vertrags an Betroffene (Art. 26 Abs. 2 S. 2) | ☐ | ☐ |
+| Pflege der Datenschutzhinweise | ☐ | ☐ |
+**§ 2.2 Betroffenenrechte (Art. 15–22 DSGVO)**:
+> Wichtig: Die betroffene Person kann nach Art. 26 Abs. 3 DSGVO ihre Rechte gegenüber **jedem** der Verantwortlichen geltend machen. Die interne Aufgabenverteilung berührt diesen Außenrechtsschutz nicht.
+| Pflicht | Verantwortlicher A | Verantwortlicher B | Frist |
+|---------|---------------------|---------------------|-------|
+| Erstkontakt / Empfang von Anfragen | ☐ Single-Point-of-Contact (SPOC) | ☐ Empfangsweiterleitung an SPOC | 1 Werktag |
+| Auskunft (Art. 15) | ☐ | ☐ | 30 Tage |
+| Berichtigung (Art. 16) | ☐ | ☐ | 30 Tage |
+| Löschung (Art. 17) | ☐ | ☐ | 30 Tage |
+| Einschränkung (Art. 18) | ☐ | ☐ | 30 Tage |
+| Datenübertragbarkeit (Art. 20) | ☐ | ☐ | 30 Tage |
+| Widerspruch (Art. 21) | ☐ | ☐ | 30 Tage |
+| Recht auf nicht-automatisierte Entscheidung (Art. 22) | ☐ | ☐ | unverzüglich |
+**§ 2.3 Datenpannen (Art. 33/34 DSGVO)**:
+| Pflicht | Verantwortlicher A | Verantwortlicher B | Frist |
+|---------|---------------------|---------------------|-------|
+| Erstmeldung an die jeweils andere Partei | ☐ | ☐ | unverzüglich, max. 24h |
+| Meldung an Aufsichtsbehörde (Art. 33) | ☐ federführend | ☐ unterstützend | 72h |
+| Benachrichtigung Betroffener (Art. 34) | ☐ federführend | ☐ unterstützend | unverzüglich |
+**§ 2.4 Sicherheit der Verarbeitung (Art. 32 DSGVO)**:
+| Pflicht | Verantwortlicher A | Verantwortlicher B |
+|---------|---------------------|---------------------|
+| TOMs für eigene Systeme | ☐ | ☐ |
+| TOMs für gemeinsame Systeme — federführend | ☐ | ☐ |
+| Periodische TOM-Reviews | ☐ jährlich | ☐ jährlich |
+**§ 2.5 Verfahrensverzeichnis (Art. 30 DSGVO)**: Beide Parteien führen jeweils ihr eigenes Verzeichnis und vermerken die gemeinsame Verarbeitung darin mit Verweis auf diese Vereinbarung.
+**§ 2.6 Datenschutz-Folgenabschätzung (Art. 35 DSGVO)**: Bei hohem Risiko führt **<Verantwortlicher A / B / gemeinsam>** die DSFA federführend durch; die jeweils andere Partei wirkt mit.
+**§ 2.7 Drittlands-Übermittlung**: Übermittlungen in Drittländer erfolgen nur mit beidseitiger Zustimmung + geeigneten Garantien (siehe SCC-Anhänge der AVV-Layer).
+---
+## § 3 Sicherheits-Maßnahmen
+**§ 3.1**: Die gemeinsam Verantwortlichen treffen TOMs nach Art. 32 DSGVO mindestens auf dem in **`AVV-anhang-TOMs.md`** beschriebenen Niveau.
+**§ 3.2**: Schnittstellen zwischen den Systemen der Parteien sind verschlüsselt (TLS ≥ 1.2); Authentifizierung erfolgt mittels gegenseitig vereinbarter Mechanismen (API-Schlüssel, OAuth2 mit kurzlebigen Tokens, mTLS).
+**§ 3.3 Audit-Recht der Parteien gegeneinander**: Jede Partei hat das Recht, die TOM-Einhaltung der anderen Partei für die gemeinsame Verarbeitung zu auditieren — analog **`AVV-anhang-Audit-Klausel-Varianten.md`** (Variante A/B/C).
+---
+## § 4 Pflichten gegenüber Betroffenen (Art. 26 Abs. 2 Satz 2 DSGVO)
+**§ 4.1 Wesentlicher Inhalt der Vereinbarung**: Den Betroffenen werden folgende wesentliche Inhalte dieser Vereinbarung in geeigneter Form (i. d. R. Datenschutzerklärung der primären Kontaktstelle) zur Verfügung gestellt:
+- ☐ Identität der gemeinsam Verantwortlichen
+- ☐ Zweck(e) der gemeinsamen Verarbeitung
+- ☐ Gegenstand der Verarbeitung
+- ☐ Aufgabenverteilung — wer übernimmt welche DSGVO-Pflicht (zumindest: wer ist primärer Ansprechpartner für Betroffenenrechte)
+- ☐ Hinweis: Betroffener kann Rechte gegenüber **jedem** der Verantwortlichen geltend machen
+- ☐ Kontakt-Informationen Datenschutzbeauftragte beider Parteien
+**§ 4.2 Single Point of Contact (SPOC)**: Trotz beidseitiger Verpflichtung benennen die Parteien einen primären Ansprechpartner für Betroffenenrechte:
+> Primärer Ansprechpartner: **<Verantwortlicher A / B>**
+> Kontakt: <Email + Postanschrift>
+---
+## § 5 Aufzeichnungspflichten
+**§ 5.1 Beide Parteien führen**:
+- ☐ Verfahrensverzeichnis für die gemeinsame Verarbeitung (Art. 30 DSGVO)
+- ☐ Audit-Log über Datenschutz-relevante Vorgänge
+- ☐ Dokumentation aller Betroffenenrechts-Anfragen + Antworten
+- ☐ Dokumentation aller Datenpannen-Meldungen (intern + an Aufsichtsbehörde)
+- ☐ Nachweis der Einhaltung der TOMs (jährlicher TOM-Review)
+---
+## § 6 Sub-Auftragsverarbeiter
+**§ 6.1**: Setzen die Parteien Auftragsverarbeiter zur Unterstützung der gemeinsamen Verarbeitung ein, schließen sie jeweils separate Auftragsverarbeitungsverträge nach Art. 28 DSGVO ab — entsprechend `AVV-standard-DE.md`.
+**§ 6.2**: Über den Einsatz neuer Auftragsverarbeiter im Bereich der gemeinsamen Verarbeitung informieren sich die Parteien gegenseitig mit angemessenem Vorlauf (mindestens 30 Kalendertage).
+---
+## § 7 Haftung und Schadensersatz (Art. 82 DSGVO)
+**§ 7.1**: Im Außenverhältnis haften die Parteien gegenüber Betroffenen nach Art. 82 DSGVO als Gesamtschuldner.
+**§ 7.2 Innenausgleich**: Im Innenverhältnis trägt jede Partei den Anteil am Schaden, der ihrem Verantwortungsbeitrag entspricht. Liegt eine ausschließliche Pflichtverletzung einer Partei vor, trägt diese den Schaden allein.
+**§ 7.3 Bußgelder (Art. 83 DSGVO)**: Bußgelder trägt diejenige Partei, der die Pflichtverletzung zuzurechnen ist. Bei beiderseitigem Verschulden anteilig nach Verschuldensgrad.
+**§ 7.4 Freistellung**: Wird eine Partei von einem Betroffenen oder einer Aufsichtsbehörde für eine Pflicht in Anspruch genommen, die nach § 2 dieser Vereinbarung der anderen Partei zugewiesen ist, stellt die jeweils zuständige Partei die andere Partei von Ansprüchen frei.
+---
+## § 8 Laufzeit, Kündigung und Beendigung
+**§ 8.1 Laufzeit**: Diese Vereinbarung tritt am <Startdatum> in Kraft und gilt für die Dauer der gemeinsamen Verarbeitung, mindestens für die Laufzeit der zugrundeliegenden Geschäftsbeziehung.
+**§ 8.2 Ordentliche Kündigung**: Mit Frist von <3 / 6> Monaten zum Quartalsende.
+**§ 8.3 Außerordentliche Kündigung**: jede Partei bei wesentlicher Pflichtverletzung der anderen Partei, insbesondere wiederholten DSGVO-Verstößen oder Verweigerung der Mitwirkungspflichten.
+**§ 8.4 Beendigungsfolgen**:
+- Gemeinsame Verarbeitung wird eingestellt.
+- Daten werden zwischen den Parteien aufgeteilt nach gemeinsamer Vereinbarung — jede Partei nimmt die ihr zustehenden Daten in eigene Verantwortung; Daten ohne klare Zuordnung werden gemeinsam gelöscht.
+- Aufzeichnungen + Audit-Logs werden 3 Jahre über das Vertragsende hinaus aufbewahrt (Beweissicherung für Aufsichtsanfragen).
+---
+## § 9 Schlussbestimmungen
+**§ 9.1 Schriftform**: Änderungen bedürfen der Textform.
+**§ 9.2 Salvatorische Klausel**: Unwirksamkeit einer Bestimmung berührt nicht die übrigen.
+**§ 9.3 Anwendbares Recht**: Recht der Bundesrepublik Deutschland; zwingende DSGVO-Vorschriften haben Vorrang.
+**§ 9.4 Gerichtsstand**: <Sitz Verantwortlicher A / B / nach Vereinbarung>.
+**§ 9.5 Vertragsanlagen**:
+| Anlage | Inhalt |
+|--------|--------|
+| 1 | Aufgabenverteilungs-Matrix (§ 2 — separat als Tabelle ausgefüllt) |
+| 2 | Datenschutzinformation für Betroffene (zu veröffentlichen — Art. 26 Abs. 2 S. 2) |
+| 3 | TOM-Katalog (siehe `AVV-anhang-TOMs.md`) |
+| 4 | Liste eingesetzter Auftragsverarbeiter beider Parteien (siehe `AVV-anhang-Sub-Processor-List.md` analog) |
+---
+**Ort, Datum, Unterschriften**:
+> _______________________________
+> Verantwortlicher A: <Name, Funktion>
+> Ort, Datum
+> _______________________________
+> Verantwortlicher B: <Name, Funktion>
+> Ort, Datum
+---
+## Anlage 2 — Datenschutzinformation für Betroffene (Mustertext)
+> **Information nach Art. 13 + Art. 26 Abs. 2 S. 2 DSGVO — Gemeinsame Verantwortlichkeit**
+>
+> Wir, **<Verantwortlicher A>** (Firma, Anschrift, Kontakt-Email) und **<Verantwortlicher B>** (Firma, Anschrift, Kontakt-Email), verarbeiten Ihre personenbezogenen Daten **gemeinsam verantwortlich** im Sinne des Art. 26 DSGVO im Rahmen folgender Verarbeitung: **<Beschreibung>**.
+>
+> **Zwecke**: <Zwecke>
+> **Rechtsgrundlage**: <Art. 6 Abs. 1 lit. a / b / f DSGVO>
+> **Datenkategorien**: <…>
+> **Speicherdauer**: <…>
+>
+> **Aufgabenverteilung zwischen uns**:
+> - Erstkontakt für Ihre Datenschutzrechte: **<Verantwortlicher A>** unter <Email>
+> - Datenpannen-Meldung an die Aufsichtsbehörde: federführend **<Verantwortlicher A / B>**
+> - Sicherheit der gemeinsamen Systeme: gemeinsam
+>
+> **Wichtig**: Sie können Ihre Rechte aus Art. 15–22 DSGVO **gegenüber jedem von uns** geltend machen — wir leiten Ihre Anfrage intern weiter und antworten gemeinsam.
+>
+> **Datenschutzbeauftragte**:
+> - <Verantwortlicher A>: <Name + Email>
+> - <Verantwortlicher B>: <Name + Email>
+>
+> **Beschwerderecht**: Sie haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen — i. d. R. derjenigen Ihres gewöhnlichen Aufenthalts.

package/skills/compliance/aegis-native/brutaler-anwalt/scripts/health-check.sh ADDED Viewed

@@ -0,0 +1,262 @@
+#!/usr/bin/env bash
+# brutaler-anwalt — Health-Check for skill consistency.
+# Usage: bash scripts/health-check.sh
+# Exit:  0 healthy · 1 issues found
+set -euo pipefail
+SKILL_DIR="$(cd "$(dirname "$0")/.." && pwd)"
+issues=0
+echo "▎ brutaler-anwalt Health-Check"
+echo "▎ Skill-Dir: $SKILL_DIR"
+echo
+# 1. Brand-Leak-Check — operator-internal QA gate.
+# Reads the brand-pattern from the BRUTALER_ANWALT_BRAND_PATTERN env-var
+# (operator's local shell or a local .envrc). Default is empty: public
+# users who install the skill see this check as a silent no-op. The
+# pattern is never embedded in tracked code -- it must not appear in
+# the source-of-truth of the published @aegis-scan/skills tarball.
+# Operator-local fallback: read from scripts/scrub-terms.local.txt
+# (relative to the repo root that contains this script's package).
+# Note: grep -l returns exit 1 on no-match — we tolerate that via
+# subshell+|| true so set -euo pipefail does not abort the script.
+echo "1/10 Brand-Leak-Check…"
+BRAND_PATTERN="${BRUTALER_ANWALT_BRAND_PATTERN:-}"
+if [[ -z "$BRAND_PATTERN" ]]; then
+  # Fallback: try to read from the operator-local gitignored file at the
+  # project root (only resolvable when this script is run from inside the
+  # AEGIS monorepo, NOT when the skill is installed standalone).
+  candidate="$SKILL_DIR/../../../../../../scripts/scrub-terms.local.txt"
+  if [[ -f "$candidate" ]]; then
+    BRAND_PATTERN=$(grep -v '^[[:space:]]*#' "$candidate" | grep -v '^[[:space:]]*$' | tr '\n' '|' | sed 's/|$//')
+  fi
+fi
+if [[ -z "$BRAND_PATTERN" ]]; then
+  echo "     ✓ no brand-pattern configured (operator-internal QA skipped)"
+else
+  brand_hits=$( (grep -rEnli "$BRAND_PATTERN" \
+    "$SKILL_DIR/SKILL.md" "$SKILL_DIR/README.md" "$SKILL_DIR/LICENSE" "$SKILL_DIR/CHANGELOG.md" "$SKILL_DIR/references/" 2>/dev/null || true) \
+    | wc -l | tr -d ' ')
+  if [[ "$brand_hits" == "0" ]]; then
+    echo "     ✓ keine Brand-Leaks"
+  else
+    echo "     ✗ $brand_hits Brand-Leak-Treffer:"
+    grep -rEni "$BRAND_PATTERN" \
+      "$SKILL_DIR/SKILL.md" "$SKILL_DIR/README.md" "$SKILL_DIR/LICENSE" "$SKILL_DIR/CHANGELOG.md" "$SKILL_DIR/references/" 2>/dev/null | head -10 || true
+    issues=$((issues + 1))
+  fi
+fi
+# 2. Az.-Provenance — every entry should have a Source-URL
+echo "2/10 Az.-Provenance-Check…"
+# Az.-Eintraege = ### Headers, ABER nicht Pattern-Sections (### Wenn ...)
+# und nicht die Audit-Trigger-Sections die thematisch sind, keine Az.
+az_count=$( (grep -cE "^### " "$SKILL_DIR/references/bgh-urteile.md" 2>/dev/null || echo 0) | head -1)
+pattern_count=$( (grep -cE "^### Wenn " "$SKILL_DIR/references/bgh-urteile.md" 2>/dev/null || echo 0) | head -1)
+real_az=$((az_count - pattern_count))
+# Source-Verlinkung in beliebigem Markdown-Format: **Source**, "Source:", oder eingebetteter http(s)-Link.
+src_count=$( (grep -cE "\*\*Source\*\*|Source:|https?://(juris|curia|dejure|openjur|rewis|edpb|gesetze-im-internet|eur-lex|bverwg|bag-urteil|nrwe|wettbewerbszentrale|noerr|twobirds|bird-bird|alro-recht|bfdi|datenschutz-berlin|lfd\.niedersachsen|taylorwessing|lto|llp-law|lennmed|medien-internet-und-recht|dataprotection\.ie|edpb\.europa|heise|bafin)" "$SKILL_DIR/references/bgh-urteile.md" 2>/dev/null || echo 0) | head -1)
+# Tolerated unsourced: VERDACHT-HALLUZINATION + DPF-Klage-anhaengig (intentionally unsourced)
+tolerated_count=$( (grep -cE "VERDACHT-HALLUZINATION|unverifiziert, da Verfahren" "$SKILL_DIR/references/bgh-urteile.md" 2>/dev/null || echo 0) | head -1)
+expected_src=$((real_az - tolerated_count))
+echo "     Az.-Eintraege (echte): $real_az · Source-Verlinkungen: $src_count · Toleriert (Halluzin/anhaengig): $tolerated_count"
+if [[ "$src_count" -lt "$expected_src" ]]; then
+  diff=$((expected_src - src_count))
+  echo "     ⚠ $diff Eintraege ohne Source-Verlinkung — Provenance-Disziplin §5 pruefen"
+  issues=$((issues + 1))
+else
+  echo "     ✓ alle Az.-Eintraege haben Source-Verlinkung (modulo $tolerated_count tolerierte)"
+fi
+# 3. Verzeichnis-Vollstaendigkeit
+echo "3/10 Verzeichnis-Vollstaendigkeit…"
+required=("SKILL.md" "README.md" "LICENSE" "CHANGELOG.md" "settings.json" \
+  ".claude-plugin/plugin.json" \
+  "hooks/post_write.py" "hooks/session_start.py" "hooks/prompt_submit.py" "hooks/triggers.json" \
+  "commands/cold-start.md" "commands/health.md" \
+  "references/INDEX.md" \
+  "references/audit-patterns.md" "references/dsgvo.md" "references/it-recht.md" \
+  "references/vertragsrecht.md" "references/checklisten.md" "references/branchenrecht.md" \
+  "references/bgh-urteile.md" "references/abmahn-templates.md" "references/aegis-integration.md" \
+  "references/international.md" "references/strafrecht-steuer.md" \
+  "references/templates/README.md" \
+  "references/gesetze/INDEX.md" \
+  "references/stack-patterns/INDEX.md")
+missing=0
+for f in "${required[@]}"; do
+  if [[ ! -f "$SKILL_DIR/$f" ]]; then
+    echo "     ✗ fehlt: $f"
+    missing=$((missing + 1))
+  fi
+done
+if [[ "$missing" == "0" ]]; then
+  echo "     ✓ alle ${#required[@]} Pflicht-Files vorhanden"
+else
+  echo "     ✗ $missing Pflicht-Files fehlen"
+  issues=$((issues + 1))
+fi
+# 4. SKILL.md Reference-Loading-Map → File-Vorhandensein
+echo "4/10 Reference-Loading-Map konsistent…"
+map_files=$(grep -oE 'references/[a-z_-]+\.md' "$SKILL_DIR/SKILL.md" 2>/dev/null | sort -u)
+for f in $map_files; do
+  if [[ ! -f "$SKILL_DIR/$f" ]]; then
+    echo "     ✗ SKILL.md verlinkt $f, aber Datei fehlt"
+    issues=$((issues + 1))
+  fi
+done
+echo "     ✓ alle in SKILL.md referenzierten Files vorhanden"
+# 5. Templates ohne Brand-Leak — reuses BRAND_PATTERN from check 1 above.
+# Public users with no pattern configured see this as a silent no-op.
+echo "5/10 Templates anonymisiert…"
+if [[ -z "$BRAND_PATTERN" ]]; then
+  echo "     ✓ no brand-pattern configured (operator-internal QA skipped)"
+else
+  template_brand_hits=$( (grep -rEnli "$BRAND_PATTERN" \
+    "$SKILL_DIR/references/templates/" 2>/dev/null || true) | wc -l | tr -d ' ')
+  if [[ "$template_brand_hits" == "0" ]]; then
+    echo "     ✓ alle Templates anonymisiert"
+  else
+    echo "     ✗ Templates enthalten Brand-Refs (sollten anonym sein):"
+    grep -rEni "$BRAND_PATTERN" \
+      "$SKILL_DIR/references/templates/" 2>/dev/null | head -10 || true
+    issues=$((issues + 1))
+  fi
+fi
+# 6. Az-Cross-File-Konsistenz (V4.0-Lesson, post-E.1-Cleanup-Lesson 2026-05-02)
+# Detekt: bekannte verworfene Az. die als AKTIVE Citation auftauchen (nicht als Doku-Note)
+# Toleriert: Provenance-Notes / VERDACHT-HALLUZINATION-Tags / „verworfen" / Lesson-Kontext.
+echo "6/10 Az-Cross-File-Konsistenz (aktive Drifts)…"
+DRIFT_FOUND=0
+# 6a. OLG Hamm 4 U 75/23 — aktive Citation = ohne Doku-Marker im selben File
+hamm_active=$( (grep -rEn "OLG Hamm.*4 U 75/23|Hamm 4 U 75/23" \
+  "$SKILL_DIR/references/" "$SKILL_DIR/SKILL.md" 2>/dev/null || true) \
+  | (grep -vE "verworfen|Vorgaenger-Eintrag|Provenance-Note|Lesson|halluzin|Halluzin|war \*\*OLG Hamm|tatsaechlich 11 U 88|→ 11 U 88|→ tatsaechlich" || true) \
+  | wc -l | tr -d ' ')
+if [[ "$hamm_active" -gt "0" ]]; then
+  echo "     ✗ OLG Hamm 4 U 75/23 in $hamm_active aktiven Citation(s) — sollte 11 U 88/22 sein:"
+  grep -rEn "OLG Hamm.*4 U 75/23|Hamm 4 U 75/23" "$SKILL_DIR/references/" "$SKILL_DIR/SKILL.md" 2>/dev/null \
+    | grep -vE "verworfen|Vorgaenger-Eintrag|Provenance-Note|Lesson|halluzin|Halluzin|war \*\*OLG Hamm" | head -3 || true
+  DRIFT_FOUND=$((DRIFT_FOUND + 1))
+fi
+# 6b. LG Berlin 16 O 9/22 — analog
+# grep -v exits with 1 when ALL lines are filtered out (legitimate match → no active drift).
+# Use `|| true` defensively after the grep -v + wrap in subshell.
+lgb_active=$( (grep -rEn "16 O 9/22" "$SKILL_DIR/references/" "$SKILL_DIR/SKILL.md" 2>/dev/null || true) \
+  | (grep -vE "VERDACHT-HALLUZINATION|halluzin|Halluzin|verworfen|nicht zitieren|Lesson|existiert nicht|ersetzt durch|→ BGH I ZR 218/07" || true) \
+  | wc -l | tr -d ' ')
+if [[ "$lgb_active" -gt "0" ]]; then
+  echo "     ✗ LG Berlin 16 O 9/22 in $lgb_active aktiven Citation(s) — Halluzination, BGH I ZR 218/07 verwenden"
+  DRIFT_FOUND=$((DRIFT_FOUND + 1))
+fi
+if [[ "$DRIFT_FOUND" == "0" ]]; then
+  echo "     ✓ keine aktiven Cross-File-Az-Drifts"
+else
+  issues=$((issues + 1))
+fi
+# 7. Hooks executable + lint-clean (v4.3.0+)
+echo "7/10 Hooks Python-syntax-clean…"
+hook_errors=0
+for hook in "$SKILL_DIR"/hooks/*.py; do
+  [[ -f "$hook" ]] || continue
+  if ! python3 -c "import py_compile; py_compile.compile('$hook', doraise=True)" 2>/dev/null; then
+    echo "     ✗ Syntax-Fehler in $(basename "$hook")"
+    hook_errors=$((hook_errors + 1))
+  fi
+  if [[ ! -x "$hook" ]]; then
+    echo "     ⚠ $(basename "$hook") nicht executable (chmod +x noetig)"
+  fi
+done
+if [[ "$hook_errors" == "0" ]]; then
+  echo "     ✓ alle hooks/*.py sind syntax-clean"
+else
+  issues=$((issues + 1))
+fi
+# 8. triggers.json regex-valid (v4.3.0+)
+echo "8/10 triggers.json regex-valid…"
+triggers_file="$SKILL_DIR/hooks/triggers.json"
+if [[ ! -f "$triggers_file" ]]; then
+  echo "     ✗ hooks/triggers.json fehlt"
+  issues=$((issues + 1))
+else
+  if ! python3 -c "
+import json, re, sys
+with open('$triggers_file') as f:
+    data = json.load(f)
+errors = []
+for t in data.get('triggers', []):
+    try:
+        re.compile(t['pattern'])
+    except re.error as e:
+        errors.append((t.get('name', '?'), str(e)))
+if errors:
+    for name, err in errors:
+        print(f'invalid regex {name}: {err}', file=sys.stderr)
+    sys.exit(1)
+print(f'OK {len(data[\"triggers\"])} triggers')
+" 2>&1; then
+    echo "     ✗ triggers.json hat invalid Regex-Patterns"
+    issues=$((issues + 1))
+  else
+    triggers_count=$(python3 -c "import json; print(len(json.load(open('$triggers_file'))['triggers']))")
+    echo "     ✓ alle $triggers_count Trigger-Patterns regex-valid"
+  fi
+fi
+# 9. .claude-plugin/plugin.json schema-valid + version match
+echo "9/10 plugin.json schema-valid + version-match…"
+plugin_file="$SKILL_DIR/.claude-plugin/plugin.json"
+if [[ ! -f "$plugin_file" ]]; then
+  echo "     ✗ .claude-plugin/plugin.json fehlt"
+  issues=$((issues + 1))
+else
+  plugin_version=$(python3 -c "import json; print(json.load(open('$plugin_file')).get('version', 'unset'))")
+  skill_version=$(grep -oE 'Version:\*\* v?[0-9]+\.[0-9]+\.[0-9]+' "$SKILL_DIR/README.md" 2>/dev/null | grep -oE '[0-9]+\.[0-9]+\.[0-9]+' | head -1)
+  if [[ -z "$skill_version" ]]; then
+    skill_version=$(grep -oE '^## \[[0-9]+\.[0-9]+\.[0-9]+\]' "$SKILL_DIR/CHANGELOG.md" 2>/dev/null | head -1 | grep -oE '[0-9]+\.[0-9]+\.[0-9]+')
+  fi
+  if [[ "$plugin_version" == "$skill_version" ]]; then
+    echo "     ✓ plugin.json v$plugin_version == README v$skill_version"
+  else
+    echo "     ✗ Version-Mismatch: plugin.json=v$plugin_version, README/CHANGELOG=v$skill_version"
+    issues=$((issues + 1))
+  fi
+fi
+# 10. settings.json WebFetch-Allowlist >= 30 Tier-1 Domains
+echo "10/10 settings.json WebFetch-Allowlist…"
+settings_file="$SKILL_DIR/settings.json"
+if [[ ! -f "$settings_file" ]]; then
+  echo "     ✗ settings.json fehlt"
+  issues=$((issues + 1))
+else
+  domains_count=$(python3 -c "
+import json
+with open('$settings_file') as f:
+    data = json.load(f)
+allowlist = data.get('permissions', {}).get('allow', [])
+print(sum(1 for p in allowlist if p.startswith('WebFetch(domain:')))
+")
+  if [[ "$domains_count" -ge "30" ]]; then
+    echo "     ✓ $domains_count Tier-1/2-Domains in Allowlist"
+  else
+    echo "     ✗ Nur $domains_count Domains — Mindest-Erwartung 30 Tier-1/2-Quellen"
+    issues=$((issues + 1))
+  fi
+fi
+echo
+if [[ "$issues" == "0" ]]; then
+  echo "✓ Health-Check passed — Skill ist konsistent."
+  exit 0
+else
+  echo "✗ Health-Check failed — $issues Issues gefunden."
+  exit 1
+fi

package/skills/compliance/aegis-native/brutaler-anwalt/scripts/test-triggers.sh ADDED Viewed

@@ -0,0 +1,145 @@
+#!/usr/bin/env bash
+# brutaler-anwalt — Trigger-Regression-Test.
+# Usage: bash scripts/test-triggers.sh
+# Exit:  0 alle Tests pass · 1 mindestens ein Test fail
+set -euo pipefail
+SKILL_DIR="$(cd "$(dirname "$0")/.." && pwd)"
+HOOK="$SKILL_DIR/hooks/prompt_submit.py"
+echo "▎ brutaler-anwalt Trigger-Regression-Test"
+echo "▎ Hook: $HOOK"
+echo
+if [[ ! -x "$HOOK" ]]; then
+  echo "✗ Hook nicht executable: $HOOK"
+  exit 1
+fi
+failed=0
+passed=0
+# Test-Sample-Format: "prompt|expected_triggers (comma-separated)"
+declare -a TESTS=(
+  "Bitte prüfe die DSGVO-Datenschutzerklärung|dsgvo-core"
+  "Cookie-Banner-Audit für unsere App|cookie-tdddg"
+  "Pruefe Impressum gegen DDG|impressum-ddg"
+  "AGB B2C Pruefung|agb-vertragsrecht"
+  "wie sieht es mit UWG-Abmahnung aus?|uwg-abmahnung"
+  "AI-Act Compliance fuer unser ML-Modell|ai-act-ki"
+  "DSA Plattformhaftung pruefen|dsa-platform"
+  "NIS2 Kritische Infrastruktur Compliance|nis2-bsig"
+  "Datenpannenschadensersatz nach 202a StGB|strafrecht-it"
+  "GoBD Aufbewahrungsfrist 10 Jahre|gobd-steuerrecht"
+  "Arzt-Praxis Patientendaten Art 9|branchen-heilberuf,dsgvo-core"
+  "Spa Behandlungs-Einwilligung|branchen-spa-wellness"
+  "MiCA Crypto BaFin Pruefung|branchen-finance"
+  "FernUSG Online-Kurs|branchen-edtech"
+  "Online-Casino GlueStV Compliance|branchen-gluecksspiel"
+  "DiGA MDR Konformitaet|branchen-medtech-diga"
+  "Marketplace UGC Public-Profile|ugc-marketplace"
+  "CCPA Drittlandtransfer|international-transfer"
+  "BGH I ZR 113/20 Smartlaw verifizieren|az-lookup"
+  "File-Upload SVG-XSS Compliance|file-upload-compliance"
+  "AEGIS Scanner Findings auswerten|aegis-integration"
+  "Abmahn-Simulation Streitwert|abmahn-simulate"
+  "Newsletter Double-Opt-In pruefen|newsletter-doi-werbung"
+  "bcrypt MFA Audit-Log Sicherheit|auth-flow-security"
+  "CSP-Header Permissions-Policy|csp-headers"
+  "VVT Verarbeitungsverzeichnis erstellen|verarbeitungsverzeichnis"
+  "DSFA DPIA Hochrisiko|dsfa-pia"
+  "BFSG Barrierefreiheit WCAG|bfsg-barrierefreiheit"
+  "EUDR Kaffee-Lieferkette Geolocation|eudr-deforestation"
+  "LkSG BAFA Lieferkette|lksg-lieferkette"
+  "Data Act IoT Cloud-Switching|data-act-iot"
+  "CRA Cyber Resilience SBOM|cra-cyber-resilience"
+  "EHDS Patientenakte MyHealth|ehds-health-data"
+  "AI Act Art 5 Social Scoring|ai-act-verboten"
+  "Hochrisiko-KI Annex III Bewerberauswahl|ai-act-hochrisiko"
+  "GPAI Foundation Model OpenAI|ai-act-gpai"
+  "Chatbot-Kennzeichnung AI Content Label|ai-act-transparenz"
+)
+# Non-Audit-Prompt sollte NICHT triggern
+declare -a NEGATIVE_TESTS=(
+  "Hello world, just chatting"
+  "Wie spaet ist es?"
+  "Bitte uebersetze das Wort Apple ins Italienische"
+)
+echo "=== POSITIVE TESTS (Trigger sollen feuern) ==="
+for entry in "${TESTS[@]}"; do
+  prompt="${entry%|*}"
+  expected="${entry#*|}"
+  output=$(printf '%s' "$prompt" | python3 -c "
+import json, sys
+prompt = sys.stdin.read()
+print(json.dumps({'prompt': prompt}))
+" | python3 "$HOOK" 2>/dev/null || echo "")
+  if [[ -z "$output" ]]; then
+    echo "  ✗ FAIL [$prompt] — kein Trigger feuerte, erwartet '$expected'"
+    failed=$((failed + 1))
+    continue
+  fi
+  fired=$(echo "$output" | python3 -c "
+import json, sys
+try:
+    d = json.load(sys.stdin)
+    ctx = d['hookSpecificOutput']['additionalContext']
+    for line in ctx.splitlines():
+        if line.startswith('Trigger gefeuert:'):
+            print(line.replace('Trigger gefeuert:', '').strip())
+            break
+except Exception:
+    pass
+" 2>/dev/null)
+  missing=()
+  for exp_trig in $(echo "$expected" | tr ',' ' '); do
+    if ! echo "$fired" | grep -qE "\\b$exp_trig\\b"; then
+      missing+=("$exp_trig")
+    fi
+  done
+  if [[ ${#missing[@]} -eq 0 ]]; then
+    passed=$((passed + 1))
+  else
+    echo "  ✗ FAIL [$prompt]"
+    echo "       fired: $fired"
+    echo "       missing: ${missing[*]}"
+    failed=$((failed + 1))
+  fi
+done
+echo
+echo "=== NEGATIVE TESTS (NICHT triggern) ==="
+for prompt in "${NEGATIVE_TESTS[@]}"; do
+  output=$(printf '%s' "$prompt" | python3 -c "
+import json, sys
+print(json.dumps({'prompt': sys.stdin.read()}))
+" | python3 "$HOOK" 2>/dev/null || echo "")
+  if [[ -z "$output" ]]; then
+    passed=$((passed + 1))
+  else
+    echo "  ✗ FAIL [$prompt] — Trigger feuerte (sollte stumm sein):"
+    echo "      $output" | head -3
+    failed=$((failed + 1))
+  fi
+done
+echo
+echo "=== ZUSAMMENFASSUNG ==="
+total=$((passed + failed))
+echo "Total: $total · Passed: $passed · Failed: $failed"
+if [[ "$failed" == "0" ]]; then
+  echo "✓ Alle Trigger-Tests bestanden"
+  exit 0
+else
+  echo "✗ $failed Trigger-Tests fehlgeschlagen"
+  exit 1
+fi