@aegis-scan/skills 0.5.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/bgh-urteile.md

@@ -21,30 +21,37 @@
 - **Tenor**: EU-US Privacy Shield ungueltig. Transfers in die USA nur mit zusaetzlichen Massnahmen (SCC + TIA).
 - **Anwendung**: Bei Drittlandtransfer in USA pruefen: Standardvertragsklauseln (SCC) abgeschlossen? Transfer Impact Assessment (TIA) durchgefuehrt? Wenn nein → Verstoss Art. 44 ff. DSGVO.
 - **Folge fuer 2026**: EU-US Data Privacy Framework (seit Juli 2023) ersetzt Privacy Shield. Klage durch noyb anhaengig. Bis EuGH-Entscheidung gilt DPF, aber Risiko-Hinweis im DSE.
+- **Source**: [curia.europa.eu C-311/18](https://curia.europa.eu/juris/liste.jsf?num=C-311/18)
 
 ### C-673/17 — Planet49 (01.10.2019)
 - **Tenor**: Vorausgewaehltes Cookie-Banner-Haekchen ist KEINE wirksame Einwilligung. Aktive Handlung erforderlich.
 - **Anwendung**: Cookie-Banner mit Pre-Tick = sofort UWG/DSGVO-Verstoss.
+- **Source**: [curia.europa.eu C-673/17](https://curia.europa.eu/juris/liste.jsf?num=C-673/17)
 
 ### C-40/17 — Fashion-ID (29.07.2019)
 - **Tenor**: Website-Betreiber ist gemeinsam Verantwortlicher (Art. 26 DSGVO) fuer Datenuebermittlung an Facebook durch Like-Button.
 - **Anwendung**: Jeder Social-Media-Plugin / Tracker, der Daten an Dritte sendet → Mit-Verantwortlichkeit. Vereinbarung nach Art. 26 erforderlich.
+- **Source**: [curia.europa.eu C-40/17](https://curia.europa.eu/juris/liste.jsf?num=C-40/17)
 
 ### C-252/21 — Meta-Plattformen (04.07.2023)
 - **Tenor**: Berechtigtes Interesse (Art. 6(1)(f)) reicht NICHT als Rechtsgrundlage fuer personalisierte Werbung. Einwilligung erforderlich.
 - **Anwendung**: Werbung-Targeting ohne Consent = Verstoss.
+- **Source**: [curia.europa.eu C-252/21](https://curia.europa.eu/juris/liste.jsf?num=C-252/21)
 
 ### C-300/21 — Oesterreichische Post (04.05.2023)
 - **Tenor**: Immaterieller Schaden i.S.v. Art. 82 DSGVO erfordert KEINE Erheblichkeitsschwelle. Auch geringer Aerger ist ersatzfaehig, sofern konkret nachweisbar.
 - **Anwendung**: Bei DSGVO-Verstoss kann jeder Betroffene Schadensersatz fordern. Empoerung allein reicht nicht — konkret darzulegen.
+- **Source**: [curia.europa.eu C-300/21](https://curia.europa.eu/juris/liste.jsf?num=C-300/21)
 
 ### C-340/21 — Bulgarische Steuerbehoerde (14.12.2023)
 - **Tenor**: Immaterieller Schaden bei Datenleck schon durch Befuerchtung des Missbrauchs. Beweislastumkehr fuer TOMs.
 - **Anwendung**: Bei Datenpanne hat Betroffener Recht auf Schadensersatz auch ohne realen Missbrauch — Verantwortlicher muss beweisen, dass TOMs angemessen waren.
+- **Source**: [curia.europa.eu C-340/21](https://curia.europa.eu/juris/liste.jsf?num=C-340/21)
 
 ### C-487/21 — Auskunftsrecht-Kopie (04.05.2023)
 - **Tenor**: Art. 15 Abs. 3 DSGVO gewaehrt vollstaendige Kopie aller Daten — nicht nur Zusammenfassung.
 - **Anwendung**: Auskunftsanfragen muessen detailliert beantwortet werden, inkl. aller Empfaenger und konkreter Daten.
+- **Source**: [curia.europa.eu C-487/21](https://curia.europa.eu/juris/liste.jsf?num=C-487/21)
 
 ---
 
@@ -53,25 +60,31 @@
 ### I ZR 113/20 — Smartlaw (09.09.2021)
 - **Tenor**: Automatisierte Erstellung eines individuellen Vertrags durch Software ist KEINE Rechtsdienstleistung i.S.d. RDG, wenn der Nutzer selbst entscheidet und kein konkreter Einzelfall geprueft wird.
 - **Anwendung**: Compliance-Scanner / Audit-Tools (incl. dieser Skill) = keine RDG-Verletzung, sofern technisch-indikativ und kein Einzelfall-Beratung.
+- **Source**: [dejure.org BGH I ZR 113/20](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+113/20)
 
 ### I ZR 7/16 — Cookie-Einwilligung (28.05.2020)
 - **Tenor**: Vorausgewaehlte Checkbox fuer Cookies ist unwirksame Einwilligung. Setzt Planet49 (EuGH C-673/17) in deutsches Recht um.
-- **Anwendung**: Pre-checked Cookie-Boxen = unwirksamer Consent → Tracking ohne Rechtsgrundlage → § 25 TTDSG-Verstoss.
+- **Anwendung**: Pre-checked Cookie-Boxen = unwirksamer Consent → Tracking ohne Rechtsgrundlage → § 25 TDDDG-Verstoss.
+- **Source**: [dejure.org BGH I ZR 7/16](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+7/16)
 
 ### VI ZR 1370/20 — DSGVO-Schadensersatz (17.10.2023)
 - **Tenor**: Verlust der Kontrolle ueber personenbezogene Daten kann immateriellen Schaden begruenden.
 - **Anwendung**: Bei Datenpanne / Datenleck koennen Betroffene Schadensersatz nach Art. 82 DSGVO fordern.
+- **Source**: [dejure.org BGH VI ZR 1370/20](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=VI+ZR+1370/20)
 
 ### I ZR 218/19 — Werbeeinwilligung Bestandskunden (10.02.2022)
 - **Tenor**: Werbeeinwilligung im Kontext einer Bestellung muss klar und gesondert eingeholt werden. Kopplung mit AGB-Annahme unwirksam.
 - **Anwendung**: Newsletter-Anmeldung bei Checkout muss separat sein (kein vorausgewaehltes Haekchen, keine Kopplung mit AGB-Akzeptanz).
+- **Source**: [dejure.org BGH I ZR 218/19](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+218/19)
 
 ### KZR 65/12 — Druckkostenzuschussverlag (24.03.2015) [aelter, immer noch zitiert]
 - **Anwendung**: Standardvertraege ueber Werkleistungen unterliegen AGB-Recht (§§ 305 ff. BGB). § 307-Inhaltskontrolle.
+- **Source**: [dejure.org BGH KZR 65/12](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=KZR+65/12)
 
 ### I ZR 232/16 — Heilmittelwerbung (15.02.2018)
 - **Tenor**: Werbung fuer rezeptpflichtige Arzneimittel ausserhalb Fachkreise verboten (§ 10 HWG).
 - **Anwendung**: Pharma-/Medizin-Sites: Heilmittelwerbe-Compliance pruefen.
+- **Source**: [dejure.org BGH I ZR 232/16](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+232/16)
 
 ---
 
@@ -81,12 +94,14 @@
 - **Tenor**: Einbindung von Google Fonts via Google-CDN ohne Einwilligung verletzt DSGVO + § 13 GG (Persoenlichkeitsrecht). Schadensersatz: 100 €.
 - **Anwendung**: Externe Google Fonts (`fonts.googleapis.com`, `fonts.gstatic.com`) ohne Consent → Abmahn-Risiko hoch. Loesung: Lokales Selbst-Hosten der Fonts in `/public/fonts/` als WOFF2.
 - **Folge**: Welle von Massen-Abmahnungen 2022/2023 (Streitwert 170–500 € pro Fall). Auch wenn rechtsmissbrauechlich-Grenze (§ 8c UWG) bei Abmahn-Vereinen, einzelner Schadensersatz weiter durchsetzbar.
+- **Source**: [openjur.de LG Muenchen I 3 O 17493/20](https://openjur.de/u/2422562.html) · [dejure.org](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG+M%C3%BCnchen+I&Aktenzeichen=3+O+17493/20)
 
 ### LG Muenchen I — 35 O 5839/22 (2023)
 - **Tenor**: Einbindung von externen Schriftarten ohne Consent ist Verstoss; Streitwert auf 500 € beschraenkt bei einmaliger Nutzung.
+- **Source**: [dejure.org LG Muenchen I 35 O 5839/22](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG+M%C3%BCnchen+I&Aktenzeichen=35+O+5839/22)
 
 ### OLG Koeln — 6 U 8/22 (Cookie-Banner-Gestaltung, 03.11.2022) [unverifiziert]
-- **Tenor**: „Akzeptieren" gross/farbig + „Ablehnen" versteckt = unzulaessige Manipulation des Consent. Verstoss gegen § 25 TTDSG.
+- **Tenor**: „Akzeptieren" gross/farbig + „Ablehnen" versteckt = unzulaessige Manipulation des Consent. Verstoss gegen § 25 TDDDG.
 - **Anwendung**: Cookie-Banner muss "equal weight buttons" haben (gleiche Groesse, Farbe, Position fuer Akzeptieren/Ablehnen).
 - **Source**: [unverifiziert — bitte vor Verwendung gegen openjur.de pruefen]
 - **Hinweis**: Empfohlen statt diesem Az. das primaer-quellen-verifizierte Az. **OLG Koeln 6 U 80/23 (19.01.2024)** zu zitieren — gleiche Aussage, eindeutig belegt.
@@ -118,10 +133,11 @@
 - **Anwendung**: Pflicht zum § 312k Kuendigungsbutton trifft praktisch jedes B2C-Online-Dauerschuldverhaeltnis — auch zeitlich begrenzte Vertraege (Probe-Abos, Punkte-Pakete, Veranstaltungs-Tickets).
 - **Source**: [Bird & Bird — § 312k Rechtsprechungsuebersicht](https://www.twobirds.com/de/insights/2025/germany/k%C3%BCndigungsbutton-nach-%C2%A7-312k-bgb-%E2%80%93-eine-rechtsprechungs%C3%BCbersicht) · [Wettbewerbszentrale](https://www.wettbewerbszentrale.de/bgh-kuendigungsbutton-auch-fuer-vertraege-ohne-automatische-verlaengerung/)
 
-### OLG Hamburg — 5 UKI 1/23 (Kuendigungsbutton-Beschriftung, 26.09.2024) ✓ verifiziert [secondary-source-verified]
+### OLG Hamburg — 5 UKl 1/23 (Kuendigungsbutton-Beschriftung, 26.09.2024) ✓ verifiziert [secondary-source-verified]
 - **Tenor**: Beschriftung „Kuendigungsabsicht abschicken" ist UNZUREICHEND. Der Button muss mit dem gesetzlichen Wortlaut „Jetzt kuendigen" oder einer entsprechend eindeutigen Formulierung beschriftet sein (§ 312k Abs. 2 Satz 4 BGB).
 - **Anwendung**: Bei jedem Kuendigungsbutton-Audit den Bestaetigungs-Button-Text gegen das Pflichtwording pruefen.
-- **Source**: [dejure.org Vernetzung 5 UKI 1/23](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=OLG+Hamburg&Datum=26.09.2024&Aktenzeichen=5+UKI+1/23) · [rewis.io](https://rewis.io/urteile/urteil/9b1-26-09-2024-5-uki-123/) · [Bird & Bird](https://www.twobirds.com/de/insights/2025/germany/k%C3%BCndigungsbutton-nach-%C2%A7-312k-bgb-%E2%80%93-eine-rechtsprechungs%C3%BCbersicht)
+- **Source**: [dejure.org Vernetzung 5 UKl 1/23](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=OLG+Hamburg&Datum=26.09.2024&Aktenzeichen=5+UKl+1/23) · [rewis.io](https://rewis.io/urteile/urteil/ifu-26-09-2024-5-uki-123/) · [Bird & Bird](https://www.twobirds.com/de/insights/2025/germany/k%C3%BCndigungsbutton-nach-%C2%A7-312k-bgb-%E2%80%93-eine-rechtsprechungs%C3%BCbersicht)
+- **Provenance-Note**: Az.-Form ist `5 UKl 1/23` (kleines `l` für **Unterlassungsklage**, UKlaG-Senat des Hanseatischen OLG). Vorheriger Skill-Stand (V4.2.0) zeigte `5 UKI 1/23` (Großbuchstabe I) — Tippfehler aus OCR/Kanzlei-Blogs propagiert (rewis-URL-Slug enthält den Tippfehler ebenfalls). Korrigiert 2026-05-05 nach landesrecht-hamburg.de NJRE001588999 + dejure.org-Vernetzung-Title-Verifikation.
 
 ### OLG Duesseldorf — I-20 UKl 3/23 (Kuendigungsbutton ohne Login, 23.05.2024) ✓ verifiziert
 - **Tenor**: Ein Button, der den Verbraucher nicht zur Kuendigungsbestaetigungsseite fuehrt, sondern auf eine andere Webseite mit Login-Anforderung, stellt eine unzulaessige „Aufspaltung" der zweiten Stufe dar. Der Kuendigungs-Pfad muss ohne Login bis zur Bestaetigung durchlaufbar sein.
@@ -146,7 +162,7 @@
 ### BGH — I ZR 169/17 (§ 36 VSBG-Hinweis, 15.03.2018) ✓ verifiziert [secondary-source-verified]
 - **Tenor**: § 36 VSBG-Hinweis (Teilnahme-Bereitschaft an Verbraucherstreitbeilegung) ist geschaeftliche Handlung i.S.d. UWG. Fehlender oder unklarer Hinweis = abmahnfaehig.
 - **Anwendung**: Bei jedem B2C-Online-Anbieter MUSS in AGB UND Impressum stehen ob teilnahmebereit oder nicht (typ. Wording: "Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen"). Auch bei Premium-Subscription-Modellen relevant.
-- **Source**: [dejure.org BGH I ZR 169/17](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Datum=21.08.2019&Aktenzeichen=VIII%20ZR%20259/17) · [Bundesamt für Justiz § 36 VSBG](https://www.gesetze-im-internet.de/vsbg/__36.html)
+- **Source**: [dejure.org BGH I ZR 169/17](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+169/17) · [Bundesamt für Justiz § 36 VSBG](https://www.gesetze-im-internet.de/vsbg/__36.html)
 
 ### BGH — VIII ZR 70/08 (Mustergerechte Widerrufsbelehrung, 21.12.2011) ✓ verifiziert (alt aber zentral)
 - **Tenor**: Eine Widerrufsbelehrung darf in Format und Schriftgroesse vom Muster nach § 14 Abs. 3 BGB-InfoV abweichen, muss aber deutlich gestaltet sein. Das Fehlen der Ueberschrift „Widerrufsbelehrung" fuehrt dazu, dass Verbraucher nicht ausreichend informiert sind, dass die Klein-Print-Erklaerungen einen wichtigen Hinweis enthalten — die Widerrufsbelehrung ist dann unzureichend und loest die gesetzliche Frist nicht aus.
@@ -218,9 +234,11 @@
 - **Tenor**: Cold-E-Mail-Werbung an B2B ohne mutmaßliche Einwilligung = Verstoss UWG § 7 Abs. 2 Nr. 3. „Mutmaßlich" ist eng auszulegen — vorbestehende Geschaeftsbeziehung Pflicht.
 - **Source**: [dejure.org BGH I ZR 218/07](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+218/07)
 
-### BGH — I ZR 246/15 — Goldbärenbarren (06.02.2014) [secondary-source-verified]
-- **Tenor**: Werbe-Beigaben + Gratifizierungs-Aktionen muessen klar gekennzeichnet sein. Versteckte „nur fuer Bestandskunden"-Aktionen koennen § 5a UWG verletzen.
-- **Source**: [dejure.org BGH I ZR 246/15](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+246/15)
+### BGH — I ZR 192/12 — Goldbärenbarren (12.12.2013) ✓ verifiziert [secondary-source-verified]
+- **Tenor**: TV-Werbung mit Gewinnspiel zielt auf Familie als Adressat — Anwendung des strengeren Pruefungsmassstabs nach § 3 Abs. 2 Satz 3 UWG („geschaeftliche Handlung gegenueber Verbrauchern, deren Schutzbeduerftigkeit erhoeht ist") greift NICHT bereits dann, wenn Kinder/Jugendliche von der Praktik moeglicherweise beeinflusst werden, weil sie zumindest auch Adressaten sind.
+- **Anwendung**: Werbe-Inhalte fuer mehrere Zielgruppen (auch Kinder) — Schutzmassstab erhoeht sich nur, wenn Kinder/Jugendliche **gezielt** angesprochen oder mitangesprochen werden, nicht bei „auch-Erfassung". Wichtig fuer Influencer-/Family-Content + Werbe-Branche.
+- **Provenance-Note (Halluzinations-Korrektur 2026-05-05)**: Vorheriger Skill-Stand zitierte falsches Az. **`I ZR 246/15` mit Datum 06.02.2014** und falschen Tenor („Werbe-Beigaben + Gratifizierungs-Aktionen kennzeichnen"). Az. `246/15` mit Urteil aus 2014 ist physikalisch unmoeglich (Az. wird im Eingangsjahr vergeben). Echtes Goldbärenbarren-Urteil ist `BGH I ZR 192/12` vom 12.12.2013, GRUR 2014, 686 — Sachverhalt war TV-Werbung-Kinder-Thematik nach § 3 Abs. 2 Satz 3 UWG, NICHT Werbe-Beigaben-Kennzeichnung. Quellen-Verifikation via WebSearch: LTO-Hintergrund + dejure.org-Index. Auch Skill-Eintrag in `checklisten.md` mit `I ZR 125/14 'Goldbärenbarren' 06.02.2014, Werbeartikel-Kennzeichnung` ist Halluzination — gleichzeitig korrigiert.
+- **Source**: [LTO — BGH-Hintergrund I ZR 192/12 Goldbärenbarren](https://www.lto.de/recht/hintergruende/h/bgh-urteil-i-zr-192-12-goldbaeren-goldbarren-werbung-gewinnspiel-haribo) · [dejure.org BGH I ZR 192/12](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Datum=12.12.2013&Aktenzeichen=I+ZR+192/12)
 
 ---
 
@@ -312,32 +330,47 @@
 
 ## Behoerden-Bussgelder (relevante Faelle)
 
-### Notebooksbilliger.de — 10,4 Mio. € (LfDI Niedersachsen, 2021)
-- **Grund**: Videoueberwachung Mitarbeiter ohne Rechtsgrundlage.
+### Notebooksbilliger.de — 10,4 Mio. € (LfDI Niedersachsen, 08.01.2021)
+- **Grund**: Videoueberwachung Mitarbeiter ohne Rechtsgrundlage. Lager / Verkauf / Pause-Bereiche, 60-Tage-Speicherung.
 - **Bedeutung**: Beschaeftigtendatenschutz § 26 BDSG ist DSGVO-relevant, hohe Bussgelder moeglich.
-
-### H&M — 35,3 Mio. € (HmbBfDI, 2020)
-- **Grund**: Detaillierte Profile von Mitarbeitern (Krankheiten, religioese Ueberzeugungen).
-- **Bedeutung**: Besondere Kategorien Art. 9 DSGVO → drakonische Strafen.
-
-### Deutsche Wohnen — 14,5 Mio. € (Berlin, 2019)
-- **Grund**: Kein Loesch-Konzept fuer alte Mieterdaten. Spaeter durch BGH zur Konkretisierung der Verantwortlichkeit gehoben (BGH VI ZR 14/22, 2023).
-
-### Vodafone — 9,55 Mio. € (BfDI, 2021)
-- **Grund**: Werbeanrufe ohne Einwilligung.
-
-### facebook — 1,2 Mrd. € (Irland DPC, 2023)
-- **Grund**: Datentransfer in die USA ohne ausreichende Garantien.
-
-### TikTok — 345 Mio. € (Irland DPC, 2023)
-- **Grund**: Verarbeitung von Kinderdaten ohne ausreichende Schutzmassnahmen.
+- **Source**: [LfD Niedersachsen — Pressemitteilung 08.01.2021](https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-verhangt-bussgeld-uber-10-4-millionen-euro-gegen-notebooksbilliger-de-196019.html)
+
+### H&M — 35,3 Mio. € (HmbBfDI, Oktober 2020)
+- **Grund**: „Welcome Back Talks" — systematisches Profiling Hunderter Mitarbeiter (Krankheiten, religioese Ueberzeugungen, Familien-Krisen) am Service-Center Nuernberg seit 2014. Speicher-Konfig-Fehler legte Daten 10/2019 mehrere Stunden firmweit offen.
+- **Bedeutung**: Besondere Kategorien Art. 9 DSGVO → drakonische Strafen. Damals hoechstes deutsches DSGVO-Bussgeld.
+- **Source**: [Taylor Wessing — 35 Mio. EUR DSGVO-Bussgeld gegen H&M](https://www.taylorwessing.com/de/insights-and-events/insights/2020/10/35-mio-eur-dsgvo-bussgeld-gegen-hm) · [LTO — Datenschutzbeauftragter Hamburg Bussgeld H&M](https://www.lto.de/recht/nachrichten/n/datenschutzbeauftragter-hamburg-bussgeld-h-und-m-35-millionen-euro)
+
+### Deutsche Wohnen — 14,5 Mio. € (Berliner Datenschutzbeauftragte, 30.10.2019)
+- **Grund**: Kein Loesch-Konzept fuer Mieterdaten. Archiv-System ohne Loeschmoeglichkeit, jahrealte Privatdaten ohne Pruefung der Erforderlichkeit.
+- **Bedeutung**: Spaeter durch EuGH C-807/21 (05.12.2023) zur DSGVO-Verantwortlichkeit / Bussgeld-Auslegung weiterentwickelt; Verfahren beim LG Berlin II noch anhaengig 2024-2025.
+- **Source**: [Datenschutz-Berlin — Pressemitteilung PDF 05.11.2019](https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf)
+
+### 1&1 Telecom — 9,55 Mio. € (BfDI, 2019)
+- **Grund**: Unzureichende Identifikationsverfahren in der Hotline (Auth nur via Name + Geburtsdatum). Verstoss Art. 32 DSGVO (TOMs).
+- **Bedeutung**: Klassiker fuer „Auth-Defizit"-Bussgelder; spaeter VG Bonn-Verfahren mit Reduktion auf 900.000 EUR (2020) — illustriert Verhaeltnismaessigkeits-Pflicht der Behoerde.
+- **Source**: [BfDI Pressemitteilungen-Archiv 1&1](https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2019/30_BfDIverhaengtGeldbusse1und1.html) · [VG Bonn 1&1-Reduktion-Urteil](https://openjur.de/u/2333517.html)
+
+### Vodafone — 45 Mio. € (BfDI, 03.06.2025) — neuer Rekord-Bussgeld
+- **Grund**: Unerlaubte Werbeanrufe via Vertriebspartner + Auth-Defizite gegenueber Kundenservice. Untersuchung lief ab 2021.
+- **Bedeutung**: Hoechstes DE-DSGVO-Bussgeld bisher (Stand 2026-05). Ueberholte das H&M-Bussgeld (35,3 Mio. €).
+- **Source**: [BfDI — Pressemitteilung 03.06.2025 Geldbusse Vodafone](https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2025/06_Geldbu%C3%9Fe-Vodafone.html) · [heise — BfDI record fines Vodafone](https://www.heise.de/en/news/BfDI-record-fines-Vodafone-pays-45-million-euros-10423780.html)
+
+### Meta Platforms Ireland (Facebook) — 1,2 Mrd. € (Irland DPC, 22.05.2023)
+- **Grund**: Datentransfer in die USA mit SCC + supplementary measures, aber Risiken nach EuGH C-311/18 nicht ausreichend adressiert. Verstoss Art. 46 Abs. 1 DSGVO.
+- **Bedeutung**: Bisheriges hoechstes DSGVO-Bussgeld in der EU. EDPB-Bindungs-Beschluss vom 13.04.2023.
+- **Source**: [DPC Ireland — Pressemitteilung 22.05.2023](https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland) · [EDPB — Pressemitteilung 1.2 Bn. € fine](https://www.edpb.europa.eu/news/news/2023/12-billion-euro-fine-facebook-result-edpb-binding-decision_en)
+
+### TikTok — 345 Mio. € (Irland DPC, 15.09.2023)
+- **Grund**: Kinderdatenverarbeitung (31.07.-31.12.2020): Family-Pairing-Setting, Age-Verification, Transparenz-Defizite, Dark-Patterns. Verstoss Art. 5(1)(a)(c)(f), 12(1), 13(1)(e), 24(1), 25(1)(2) DSGVO.
+- **Bedeutung**: Erstes grosses Bussgeld zu Kinder-DSGVO. Fortgesetzt durch 530-Mio.-Bussgeld 02.05.2025 (China-Datentransfer).
+- **Source**: [DPC Ireland — Pressemitteilung 15.09.2023](https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-345-million-euro-fine-of-TikTok) · [DPC Ireland — Folgebussgeld 530 Mio. 02.05.2025](https://www.dataprotection.ie/en/news-media/latest-news/irish-data-protection-commission-fines-tiktok-eu530-million-and-orders-corrective-measures-following)
 
 ---
 
 ## Patterns fuer den Skill
 
 ### Wenn Cookie-Banner-Verstoss erkannt:
-- Zitiere: EuGH C-673/17 Planet49 + BGH I ZR 7/16 + OLG Koeln 6 U 8/22
+- Zitiere: EuGH C-673/17 Planet49 + BGH I ZR 7/16 + **OLG Koeln 6 U 80/23** (19.01.2024 — primaer-quellen-verifiziert; nicht mehr OLG Koeln 6 U 8/22 von 2022, der unverifiziert geflaggt ist)
 - Schadensschaetzung: 170–500 € pro Abmahnung; Aufsichtsbehoerden-Bussgeld bis 4 % Jahresumsatz (Stufe 2).
 
 ### Wenn Google Fonts extern eingebunden:
@@ -349,7 +382,7 @@
 - Pruefe: Empfaenger DPF-zertifiziert? SCC abgeschlossen? TIA dokumentiert? Datenschutzerklaerung erwaehnt Drittlandtransfer + Garantien?
 
 ### Wenn Datenpanne:
-- Zitiere: Art. 33 DSGVO (72 h) + EuGH C-340/21 + OLG Hamm 4 U 75/23
+- Zitiere: Art. 33 DSGVO (72 h) + EuGH C-340/21 + OLG Hamm 11 U 88/22 (20.01.2023)
 - Fristen: Erstmeldung 72 h an Aufsichtsbehoerde, ggf. Betroffeneninformation Art. 34.
 
 ### Wenn personalisierte Werbung ohne Consent:
@@ -357,8 +390,8 @@
 - Fix: Einwilligung nach Art. 6(1)(a) DSGVO statt Art. 6(1)(f).
 
 ### Wenn Newsletter Single-Opt-In:
-- Zitiere: LG Berlin 16 O 9/22 + § 7 UWG
-- Fix: Double-Opt-In implementieren (Bestaetigungsmail mit Token-Link).
+- Zitiere: BGH I ZR 218/07 (Cold-Outreach-Klassiker) + BGH I ZR 12/22 (Bestandskunden-Mehrfach-Werbung) + § 7 Abs. 2 Nr. 3 UWG
+- Fix: Double-Opt-In implementieren (Bestaetigungsmail mit Token-Link, TTL 24-48h, werbe-frei).
 
 ### Wenn Auskunftsanfrage abgelehnt/unvollstaendig:
 - Zitiere: Art. 15 DSGVO + EuGH C-487/21
@@ -381,3 +414,46 @@ Wenn unsicher:
 > Vergleichbare Faelle: [allgemeiner Hinweis]
 > [ungepruefte Az.-Nummer] — bitte separat verifizieren vor anwaltlicher Verwendung
 ```
+
+---
+
+## ⚠️ FALSCH-ZITIERUNGS-REGISTER (post-Brutal-Audit 2026-05-03)
+
+> Diese Section listet Az., die bekannt-falsch in bestimmten Kontexten verwendet wurden.
+> NIEMALS aus diesem Register zitieren fuer den genannten Falsch-Kontext.
+
+### BGH I ZR 137/12 — NICHT fuer Impressum-Pflicht zitieren
+
+- **Tatsaechlicher Inhalt**: Teil-Berufsausuebungsgemeinschaft von Aerzten,
+  Vereinbarkeit von Berufsordnungs-Beschraenkungen mit Art. 12 Abs. 1 GG (BGH 15.05.2014).
+- **Faelschlicherweise verwendet als**: Beleg fuer Impressum-Pflicht / § 5 TMG / § 5 DDG
+- **Entdeckt**: Brutal-Audit 2026-05-03 (B-033) via WebSearch (lexetius.com, juris.bundesgerichtshof.de, dejure.org)
+- **Korrekte Alternative fuer Impressum-Pflicht-Argument**:
+  `§ 5a Abs. 1 UWG i.V.m. § 5 DDG als Marktverhaltensregel i.S.d. § 3a UWG`
+- **Source**: [dejure.org BGH I ZR 137/12](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=BGH&Aktenzeichen=I+ZR+137/12)
+
+---
+
+## AG-/LG-/OLG-Urteile (KI-Recht, 2026)
+
+### AG Muenchen 142 C 9786/25 — KI-Logos kein Urheberrechtsschutz (13.02.2026)
+
+- **Tenor**: KI-generierte Logos unterfallen mangels schoepferischer Eigenleistung
+  eines Menschen NICHT dem Urheberrechtsschutz (§ 2 UrhG). Reines KI-Output = kein Werkschutz.
+- **Anwendung**: Website-Betreiber, die KI-Logos verwenden, haben kein exklusives
+  Urheberrecht daran. Wettbewerber koennen die gleiche KI-Variante nutzen.
+  AGB-Klauseln zu „KI-Bildgenerierung" koennen sich auf dieses Az. beziehen.
+- **Provenance**: Verifiziert via WebSearch 2026-05-03 (dejure.org, anwalt.de, rewis.io, legalsmart.de). Nicht rechtskraeftig.
+- **Source**: [dejure.org AG Muenchen 142 C 9786/25](https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=AG+M%C3%BCnchen&Aktenzeichen=142+C+9786/25)
+
+### OLG Duesseldorf I-20 W 2/26 — KI-Bild-Bearbeitung Foto, § 16 UrhG (02.04.2026)
+
+- **Tenor**: KI-Bearbeitung eines Fotos (Prompt-basierte Transformation) stellt
+  keinen Vervielfaeltigungsvorgang i.S.v. § 16 UrhG dar, wenn die KI keine
+  exakte Kopie erzeugt. Einstweilige Verfuegung eines Schutzrechts-Inhabers
+  daher abgewiesen.
+- **Anwendung**: Wenn ein KI-Tool ein Foto transformiert (kein 1:1-Copy), ist die
+  § 16-Verletzungsbehauptung fraglich. AGB-Klauseln zu „KI-Bilder aus Fotos"
+  koennen sich auf dieses Az. beziehen.
+- **Provenance**: Verifiziert via WebSearch 2026-05-03 (alro-recht.de, OLG Duesseldorf Beschluss 02.04.2026).
+- **Source**: [alro-recht.de OLG Duesseldorf I-20 W 2/26](https://alro-recht.de/urteil-olg-duesseldorf-i-20-w-226-ki-bild-aus-foto/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/branchenrecht.md

@@ -41,6 +41,64 @@
 
 ---
 
+## Spa / Wellness / Kosmetik / Massage (V4-Pattern, post-Art-9-Workflow-Audit 2026-05-03)
+
+### Trigger
+- URL-Pattern: `*-spa.*`, `*-wellness.*`, `*-kosmetik.*`, `*-beauty.*`, `*-massage.*`, `*hotel*spa*`, `*beauty-salon*`
+- Content-Keywords: „Anamnese", „Allergien", „Kontraindikationen", „Hauttyp", „Schwangerschaftsmassage", „Behandlungsraeume"
+- schema.org @type: `BeautySalon`, `DaySpa`, `HealthAndBeautyBusiness`
+- Cross-Branche: oft gemischt mit `LodgingBusiness` (Hotel-Spa) oder `MedicalBusiness` (Med-Spa mit Heilpraktiker)
+
+### Branchen-Klassifikation (KRITISCH fuer Rechtsfolge)
+
+| Setup | Rechtsregime | Aufbewahrung | DSGVO-Rechtsgrundlage |
+|-------|--------------|--------------|------------------------|
+| Reine Wellness/Kosmetik (kein Heilpraktiker) | § 823 BGB Verkehrssicherungspflicht + § 280 BGB Pflichtverletzung | BGB § 195 (3 Jahre) + § 199 Abs. 4 (10 Jahre Hoechstfrist) | Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) |
+| Medizinisches Spa mit Heilpraktiker | § 630a-h BGB Behandlungsvertrag | BGB § 630f Abs. 3 (10 Jahre) | § 22 Abs. 1 Nr. 1 lit. b BDSG (Gesundheitsvorsorge) ODER Art. 9 Abs. 2 lit. h |
+| Aerztliche Leistung im Spa (Botox, Filler) | § 630a-h BGB voll | BGB § 630f Abs. 3 (10 Jahre) | § 22 BDSG (Berufsgeheimnistraeger) |
+
+### Pflicht-Pruefungen
+
+- [ ] **Anamnese-Beweis-Workflow** (Art. 9 Abs. 2 lit. a + Art. 7 Abs. 1 DSGVO): Wer Gesundheitsdaten erhebt, muss Einwilligung **kryptographisch beweisbar** dokumentieren. Mindestens eines:
+  - Tablet-Signatur (eIDAS Art. 3 Nr. 10 — eES) mit Audit-Trail
+  - Eigenhaendige Unterschrift auf Papier + gescannt + Hash-Bindung (SHA-256) in DB
+  - Mitarbeiter-Abtipp + Pflicht-Original-Scan + Mitarbeiter-Co-Signatur
+- [ ] **Branchen-Klassifikation explizit** in Datenschutzerklaerung: Wellness vs. Heilpraktiker vs. Aerztlich. Falsche Annahme der Heilberufs-Privilegien (§ 22 BDSG) ist verbreiteter Verstoss.
+- [ ] **DSFA-Pflicht** (Art. 35 Abs. 3 lit. b DSGVO): bei systematischer Erhebung Art-9-Daten (jeder Spa-Gast bekommt Anamnese erfasst). KMU-Privileg gilt **nicht** fuer DSFA bei Art-9.
+- [ ] **Aufbewahrungsfrist** dokumentiert + automatisiert (Cron / Scheduled-Job): 3 Jahre Wellness, 10 Jahre Heilpraktiker. Verlaengerung bei dokumentiertem Schadensfall (BGB § 199 Abs. 2: bis 30 Jahre bei Personenschaden).
+- [ ] **Encryption at-rest** fuer alle Art-9-Felder (AES-256-GCM mit AAD-Bindung an Row-ID, Defense gegen Block-Swap-Attacks).
+- [ ] **Audit-Log** fuer JEDEN Lese-Zugriff auf Anamnese (Art. 5 Abs. 2 Rechenschaftspflicht).
+- [ ] **Widerrufs-Workflow** Art. 7 Abs. 3 DSGVO als sichtbarer Button + Pflicht-Audit-Log mit Begruendung.
+- [ ] **Heilpraktiker-Erlaubnis-Check**: wenn Akupunktur, Schroepfen, Massagen mit Heilversprechen, Lymphdrainage etc. angeboten werden — Heilpraktiker-Erlaubnis (HeilprG) **Pflicht**, sonst Strafbar (§ 5 HeilprG).
+- [ ] **HWG-Compliance** wenn Heilversprechen beworben (Anti-Aging, Faltenglaettung, Cellulite-Reduktion mit Wirknachweis-Behauptung).
+
+### Typische Verstoesse
+
+- **Anamnese ohne Pflicht-Unterschrift erfasst** — Mitarbeiter tippt Allergien direkt im Admin-UI ein, ohne dass Gast bestaetigt. Beweispflicht Art. 7 Abs. 1 nicht erfuellt.
+- **Falsche § 22 BDSG-Berufung** — Spa-Mitarbeiter sind keine Berufsgeheimnistraeger im Sinne § 22 Abs. 1 Nr. 1 lit. b BDSG (anders als Aerzte/Heilpraktiker mit § 203 StGB-Schweigepflicht). Rechtsgrundlage **muss** Art. 9 Abs. 2 lit. a DSGVO (ausdrueckliche Einwilligung) sein.
+- **Aufbewahrungsfrist zu kurz** — z.B. 12 oder 24 Monate, dann Schaden tritt in Jahr 3 auf. Hotel kann Anamnese nicht mehr vorlegen → § 280 BGB-Beweisproblem.
+- **Audit-Log fehlt fuer Anamnese-Lese-Zugriff** — kein Nachweis welcher Mitarbeiter wann welche Gesundheitsdaten gesehen hat. Diskriminierungs-Vorwurf-Defense unmoeglich.
+- **Werbung mit Heilversprechen** ohne Heilpraktiker-Erlaubnis → § 5 HeilprG (Strafbarkeit) + § 3 HWG (Wettbewerbsverstoss, UWG-Hebel).
+- **Originalpapier ohne kryptographische Bindung** an DB-Eintrag — Mitarbeiter scannt + tippt ab, aber DB-Inhalt ist nicht beweisbar mit Original verknuepft. Im Bestreitungsfall: Inhalts-Diskrepanz nicht aufloesbar.
+- **DSFA fehlt** — bei Pruefung durch Aufsichtsbehoerde Art. 35 Verstoss = Stufe 1 Bussgeld (bis 10 Mio EUR / 2%).
+
+### Az.-Anker
+
+- **Beweispflicht Einwilligung Art-9**: etablierte EuGH-Rechtsprechung zu Art. 7 + Art. 9 DSGVO. Spezifische Az. `[ungeprueft, manuelle Verifikation vor Schriftsatz erforderlich]` — Empfehlung: Az. zu Art. 9 + Beweispflicht in `bgh-urteile.md` ergaenzen wenn primaer-quellen-verifiziert (curia.europa.eu / bundesgerichtshof.de).
+- **§ 630h BGB Beweislastumkehr**: gilt NUR bei medizinischer Behandlung, NICHT bei Wellness. Wichtige Abgrenzung — Wellness fallback auf § 286 ZPO freie Beweiswuerdigung.
+- **§ 5 HeilprG Strafbarkeit**: Heilberufsausuebung ohne Erlaubnis = Strafrechtlich verfolgt, BGH-Linie zu „Heilkunde" weit ausgelegt (bspw. Lymphdrainage, energetische Behandlungen, „Heilmassagen").
+- **Hauttyp/Schwangerschaft als Art-9**: defensiv ausgelegt nach ErwGr 35 DSGVO + EuGH-Rechtsprechung zu weitem Gesundheitsdaten-Begriff.
+
+### Cross-Branche-Hinweise
+
+- Hotel-Spa: zusaetzlich `LodgingBusiness`-Layer pruefen (Reisebranche-Sektion)
+- Wenn KI-Auswertung der Anamnese (Empfehlungen): EU AI Act + KI-Health-Layer-Sektion zusaetzlich
+- Wenn Online-Booking: zusaetzlich E-Commerce-Layer (BFSG seit 28.06.2025)
+
+> Audit-Pattern: siehe `references/audit-patterns.md` Phase 5h (Art-9-Beweis-Workflow-Audit).
+
+---
+
 ## Anwaelte / Kanzleien
 
 ### Berufsordnung Rechtsanwaelte (BORA)
@@ -269,7 +327,7 @@
 - [ ] Vorzeitige Loesung bei Lehrgangs-Vertraegen § 21 FernUSG (3-Monats-Frist)
 
 ### Typische Verstoesse
-- B2C-Coaching ohne ZFU-Zulassung → Vertrag nichtig (BGH XI ZR 188/22, 2023) [Az. ungeprueft, vor Verwendung verifizieren]
+- B2C-Coaching ohne ZFU-Zulassung → Vertrag nichtig (etablierte Rechtsprechung zu § 7 Abs. 1 FernUSG; vor Verwendung im Schriftsatz aktuelle Az.-Recherche pflicht — vorheriger Skill-Stand zitierte BGH XI ZR 188/22 mit Coaching-Kontext, das ist tatsaechlich ein bankrechtlicher Beschluss vom 12.09.2023 (XI. Zivilsenat = Bankrecht), der Sachverhalt deckt sich nicht mit Coaching-Vertraegen — Halluzinations-Korrektur 2026-05-05)
 - Coaching-Vertrag ohne Widerrufsrecht-Hinweis → Frist beginnt nicht zu laufen
 
 ---
@@ -459,7 +517,7 @@ URL-Pattern: `*-news.*`, `*-zeitung.*`, `*-verlag.*`. schema.org @type: NewsArti
 
 ### Az.-Anker
 - EuGH C-401/19 (Upload-Filter, 26.04.2022)
-- BGH I ZR 246/15 (Goldbärenbarren, 06.02.2014)
+- BGH I ZR 192/12 (Goldbärenbarren, 12.12.2013) — TV-Werbung-Kinder/Jugendliche-Adressaten-Frage nach § 3 Abs. 2 Satz 3 UWG (siehe `bgh-urteile.md` Provenance-Note: vorheriger Eintrag `I ZR 246/15 06.02.2014` war Halluzination)
 
 ---
 
@@ -632,6 +690,134 @@ URL-Pattern: `*-github.io`, `*-readthedocs.*`. Repo-Struktur: package.json mit `
 
 ---
 
+## MedTech / DiGA / Health-Apps
+
+### Trigger
+URL-Pattern: `*-health.*`, `*-medizin.*`, `*-symptom.*`, `*-diagnose.*`. Tech-Stack: Health-related libs (e.g. `@medplum/*`, FHIR-Clients), Symptom-Checker-APIs. Content: "Diagnose", "Behandlung", "Symptom-Check", "Therapie-Empfehlung".
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| MDR-Klassifizierung der App (Klasse I/IIa/IIb/III) | MDR Art. 51 + Anhang VIII | CE-Pruefung |
+| Klinische Bewertung dokumentiert | MDR Art. 61 + Anhang XIV | interner Vault |
+| BfArM-Listung als DiGA (wenn anwendbar) | DiGAV + § 139e SGB V | https://diga.bfarm.de/ |
+| EUDAMED-Registrierung | MDR Art. 33 | EUDAMED-DB |
+| Vigilanz-Meldungs-Prozess | MDR Art. 87-89 | interne Procedure |
+| AI-Act-Hochrisiko-Pruefung (wenn AI-Diagnose) | AI-Act Annex III Nr. 5.d | FRIA + DSFA |
+| DSGVO Art. 9 (Gesundheitsdaten) | Art. 9 + § 22 BDSG | DSE + DSFA Pflicht |
+| Heilmittelwerbe-Pruefung | HWG | Marketing-Audit |
+| Zero-Retention-AVV bei AI-Vendor | DSGVO Art. 28 + 32 | AVV-Pruefung |
+
+### Typische Verstoesse
+- KI-Diagnose ohne CE-Mark als SaMD = MDR-Verstoss + Art. 50 AI-Act
+- Heilversprechen ohne klinische Bewertung = HWG § 3
+- Health-Daten-Drittlandtransfer ohne SCC + TIA = Art. 44 DSGVO + Stufe 2
+
+### Az.-Anker
+- BGH I ZR 232/16 (Heilmittelwerbung, 15.02.2018)
+- EuGH C-21/23 Lindenapotheke (04.10.2024)
+
+### Cross-Reference
+- MedTech-Gesetze: `gesetze/MedTech/MDR-2017-745.md`, `gesetze/MedTech/IVDR-2017-746.md`, `gesetze/MedTech/DiGAV.md`
+- AI-Act: `gesetze/EU-Verordnungen/AI-Act-2024-1689/`
+
+---
+
+## Public-Sector / E-Government
+
+### Trigger
+URL-Pattern: `*.bund.de`, `*.land.*.de`, `*.kommune.*`, `*.behoerde.*`. Auftraggeber: oeffentliche Stelle. schema.org @type: GovernmentOrganization, GovernmentService.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| EGovG-Konformitaet | EGovG (Bund + Laender) | Doku |
+| OZG-Anbindung | OZG (Onlinezugangsgesetz) | Service-Anbindung |
+| BFSG Pflicht (auch fuer Behoerden) | BFSG | WCAG 2.1 AA |
+| BSI-Mindestanforderungen | BSIG / IT-Grundschutz | Audit |
+| Beschaffungsrecht | UVgO / VgV | Vergabeverfahren |
+| IT-PLR-Konsolidierung-Konformitaet | Bund-IT-Standard | wenn Bund-Auftrag |
+| Datenschutz | DSGVO + BDSG + LDSG | Datenschutz-Konzept |
+| Barrierefreiheit | BITV 2.0 | WCAG-Audit |
+
+### Typische Verstoesse
+- BITV-Verstoss bei Behoerden-Site = direkter Pruefungs-Anlass
+- Vergabe-Verstoss bei Beschaffung = Vergabe-Aufhebung
+- Datenpanne in Behoerden-Kontext = besondere oeffentliche Wirkung
+
+### Cross-Reference
+- BFSG: `gesetze/BFSG/audit-relevance.md`
+
+---
+
+## Telekommunikation / VoIP / Messaging
+
+### Trigger
+URL-Pattern: `*-call.*`, `*-voip.*`, `*-messenger.*`, `*-sms.*`. Tech-Stack: Twilio, MessageBird, Vonage, RingCentral. Content: "Telefonie", "SMS", "VoIP", "Messaging-Service".
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| BNetzA-Anzeige | TKG § 9 | BNetzA-Listung |
+| Notruf-Pflicht (110/112) | TKG §§ 164-167 | Notruf-Routing |
+| Vertraulichkeits-Pflicht | TKG § 109 + Art. 5 ePrivacy-RL | Verschluesselungs-Audit |
+| Telekom-Daten-Loesch-Pflicht | TKG § 169 + DSGVO Art. 5 lit. e | Cron-Audit |
+| Verkehrsdaten-Pflicht | TKG | Loesch-Konzept |
+| Kunden-Identifikations-Pflicht | TKG bei Prepaid | KYC-Pflicht |
+
+### Cross-Reference
+- TKG: `gesetze/TKG/articles.md`
+- ePrivacy-RL: `gesetze/ePrivacy-RL-2002-58/`
+
+---
+
+## Streaming / Medien / Verlag
+
+### Trigger
+URL-Pattern: `*-tv.*`, `*-stream.*`, `*-news.*`, `*-zeitung.*`, `*-verlag.*`. schema.org @type: NewsArticle, NewsMediaOrganization, VideoObject, BroadcastService.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| MStV § 18 V.i.S.d.P. | Medienstaatsvertrag § 18 | Impressum + V.i.S.d.P. |
+| Trennungsgrundsatz | UWG § 5a + MStV | Layout-Audit |
+| Urheberrecht-Compliance | UrhG | Image-/Video-Source-Audit |
+| KI-generierte-Inhalte-Pflicht | AI-Act Art. 50 Abs. 5 | Article-Footer ab 02.08.2026 |
+| Quellen-Angabe bei Zitaten | UrhG § 51 | manuelles Audit |
+| Leistungsschutzrecht | UrhG § 87f | LSR-Quellenliste |
+| Jugendschutz-Beschraenkung | JMStV §§ 4-5 | Age-Gate / AVS |
+| Kinder-Werbungs-Verbot | DSA Art. 28 + JMStV § 6 | Targeting-Audit |
+| Streaming-Lizenz-Compliance | UrhG | Lizenz-Vertrag-Pruefung |
+
+### Cross-Reference
+- AI-Act Art. 50: `gesetze/EU-Verordnungen/AI-Act-2024-1689/transparenz-art-50.md`
+- JuSchG / JMStV: `gesetze/JuSchG-JMStV/articles.md`
+
+---
+
+## Kinder- / Jugendschutz Online
+
+### Trigger
+URL-Pattern: `*-kids.*`, `*-jugend.*`, `*-school.*`, `*-game.*`. Content: an Kinder oder Jugendliche gerichtet. AGE-Gate < 18 vorhanden.
+
+### Pflicht-Pruefungen
+| Check | Rechtsgrundlage | Verify |
+|-------|-----------------|--------|
+| AGE-Gate bei Onboarding | DSA Art. 28 + JMStV § 4 | Onboarding-Flow |
+| DSGVO Art. 8 Eltern-Einwilligung < 16 J | DSGVO Art. 8 + § 21 BDSG | Consent-Flow |
+| Profiling-Werbung-Verbot < 18 J | DSA Art. 28 | Ad-Configuration-Audit |
+| Trennungsgrundsatz Werbung | JMStV § 6 | Layout-Audit |
+| Spiel-Verkaufs-Beschraenkung | JuSchG § 14 | Inhalts-Audit |
+| Zugangsbarriere bei entwicklungsbeeintraechtigenden Inhalten | JMStV §§ 4-5 | technisches Mittel |
+| Kinder-Cookies-Sonderregeln | EuGH-Auslegung Art. 6 lit. f | Consent-Banner |
+| BzKJ / KJM Compliance | JMStV § 7 (Anbieter-Beauftragter) | Anbieter-Doku |
+
+### Cross-Reference
+- JuSchG / JMStV: `gesetze/JuSchG-JMStV/articles.md`
+- DSA Art. 28: `gesetze/EU-Verordnungen/DSA-2022-2065/articles.md`
+
+---
+
 ## Cross-Branchen-Patterns
 
 ### Wenn Branche identifiziert + entsprechende Pflichten verletzt:
@@ -647,3 +833,62 @@ Wenn Site mehrere Branchen-Layer beruehrt (z.B. Hotel-Portal = Reise + KRITIS-tr
 - ALLE betroffenen Branchen-Sections laden
 - Cross-Risiken explizit pruefen
 - Bei Konflikt zwischen Pflichten: stets strikteste Norm anwenden
+
+## Agritech / Forst / Rohstoffe / Lieferketten (EUDR + LkSG)
+
+### EU-Entwaldungsverordnung — EUDR (VO 2023/1115)
+
+- **Volltext**: https://eur-lex.europa.eu/eli/reg/2023/1115/oj
+- **Erstanwendung**: 30.12.2025 (Large Operators / Traders), 30.06.2026 (SME)
+- **Geltungsbereich**: 7 Rohstoffe + ihre Derivate
+  - Kaffee, Kakao, Soja, Rind, Palmoel, Holz, Kautschuk
+  - Plus daraus hergestellte Produkte (Schokolade, Leder, Moebel, Reifen, Papier, ...)
+- **Pflichten** fuer Operators + Traders die diese Rohstoffe in den EU-Markt bringen:
+  - **Art. 4**: Inverkehrbringen nur mit Sorgfaltspflichten-Erklaerung (Due-Diligence-Statement)
+  - **Art. 8**: Sammlung von Informationen + Risikobewertung
+  - **Art. 9**: **Geolokalisierung pro Produktions-Plot** (Lat/Long-Polygon, fuer < 4ha Punkt-Koordinaten)
+  - **Art. 10**: Risikominderungsmassnahmen wenn Risiko nicht „vernachlaessigbar"
+  - **Art. 12**: Pflicht zur Beruecksichtigung Anti-Korruptions-/Menschenrechts-/Land-Rechts-Vorschriften
+  - **Art. 31-33**: Bussgelder bis **4% des Unionsweiten Jahresumsatzes** + Konfiszierung der Ware
+
+### Verifikations-Trigger fuer Audit
+
+Pruefe bei jeder SaaS/Plattform die mit Coffee/Cocoa/Soy/Beef/Palm/Wood/Rubber-Lieferketten oder
+deren Produkten umgeht (Marktplatz, Importeur-Tool, Lieferanten-Portal, Traceability-App):
+
+- [ ] **Geolocation-Pflicht-Feld** im Datenmodell? (Lat/Long-Polygon pro Plot, < 4ha = Punkt)
+- [ ] **Due-Diligence-Statement-Generator** (Art. 8 + Anhang II)?
+- [ ] **Risikoklassen-Mapping** Land/Region/Plot (LOW/STANDARD/HIGH per EU-Country-Benchmarking-System)?
+- [ ] **Chain-of-Custody** ueber alle Akteure dokumentiert?
+- [ ] **Cut-Off-Date 31.12.2020** — Produkte muessen aus nicht-nach-31.12.2020-entwaldeten Flaechen stammen
+- [ ] **TRACES-Anbindung** (EU-Informationssystem) — Art. 33
+- [ ] **Audit-Trail** fuer mind. 5 Jahre (Art. 4(2))
+
+### Schadens-Anker EUDR
+
+- Bussgeld bis **4% Jahresumsatz** der gesamten Union-Geschaeftsbeziehungen (Art. 25(2))
+- Konfiskation der nicht-konformen Ware
+- Marktausschluss (max. 12 Monate, Art. 25(4))
+- Vertragsstrafen-Risiko gegenueber EU-Buyer-Kunden (Verlust EU-Compliance)
+- Reputations-Risiko mit Endkunden (ESG-getriebene Roaster/Brands wie Tchibo, JDE, Nespresso etc.)
+
+### Cross-Reference
+
+- VVT-Pflicht erweitert (Art. 30 DSGVO) — Geolocation = personenbezogene Daten bei Smallholder-Farmer-Zuordnung
+- Art. 9 DSGVO koennte greifen wenn ethnische Herkunft aus Plot-Koordinaten ableitbar (z.B. indigene Gebiete)
+- Lieferkettensorgfaltspflichtengesetz (LkSG) — siehe unten
+
+### Lieferkettensorgfaltspflichtengesetz (LkSG, DE)
+
+- **Volltext**: https://www.gesetze-im-internet.de/lksg/
+- **Geltung**: > 3.000 Mitarbeitende (seit 01.01.2023), > 1.000 Mitarbeitende (seit 01.01.2024)
+- **Pflichten** (§§ 3-10 LkSG):
+  - Risikomanagement-System
+  - Praeventionsmassnahmen
+  - Abhilfemassnahmen
+  - Beschwerdeverfahren (§ 8 LkSG, jaehrlicher Bericht)
+- **Schadens-Anker**: BAFA-Bussgelder bis 800.000 EUR (oder 2% Jahresumsatz bei > 400 Mio EUR Umsatz)
+- **Aktor**: Bundesamt fuer Wirtschaft und Ausfuhrkontrolle (BAFA)
+- **Zukunft**: ab 2026/2027 EU-CSDDD (RL 2024/1760) loest LkSG schrittweise ab — strenger Scope (1.000 Mitarbeitende + 450 Mio EUR weltweit + civil-liability)
+
+---