npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.1 - Mend

@aegis-scan/skills 0.5.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (346) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/HinSchG/paragraphs.md ADDED Viewed

@@ -0,0 +1,116 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/hinschg/
+last-checked: 2026-05-05
+purpose: HinSchG (Hinweisgeberschutzgesetz) — interne Meldekanal-Pflicht, Vertraulichkeit, Repressalien-Schutz. RL 2019/1937-Umsetzung; in Kraft seit 02.07.2023.
+---
+# HinSchG — Kern-Paragraphen
+> Hinweisgeberschutzgesetz (HinSchG), in Kraft seit 02.07.2023.
+> Volltext: https://www.gesetze-im-internet.de/hinschg/
+## § 1 — Anwendungsbereich
+**Wortlaut (Kern)**: HinSchG schützt natürliche Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit (Beschäftigte, Selbständige, Praktikanten, Bewerber, ehemalige Beschäftigte etc.) Informationen über Verstöße erlangt haben + diese melden.
+---
+## § 2 — Sachlicher Anwendungsbereich
+**Wortlaut (Kern)**: HinSchG gilt für Meldungen u.a. über:
+- **Nr. 1**: Verstöße, die strafbewehrt sind (§§ StGB, NebenStrafR),
+- **Nr. 2**: Verstöße, die bußgeldbewehrt sind (soweit Vorschrift Schutz von Leben, Leib, Gesundheit oder Beschäftigtenrechten dient),
+- **Nr. 3**: Verstöße gegen Bundes-/Landesvorschriften zur Umsetzung EU-Recht (incl. DSGVO, MDR, GwG, NIS2, AI Act etc.).
+**Audit-Relevanz**: breit. JEDER Compliance-Verstoß im Operator kann gemeldet werden.
+---
+## §§ 12–18 — Pflicht zur Einrichtung interner Meldekanäle
+### § 12 — Pflicht zur Einrichtung
+**Wortlaut (Kern)**: Beschäftigungsgeber mit in der Regel mindestens **50 Beschäftigten** sind verpflichtet, eine interne Meldestelle einzurichten, an die sich Hinweisgeber wenden können.
+**§ 12 Abs. 2**: Mehrere Beschäftigungsgeber bis 249 MA können gemeinsame Meldestelle einrichten (Konzern-Lösung möglich, aber EU-Kommission hat Bedenken bei Aufsicht).
+**§ 12 Abs. 3 — Pflicht-Schwelle**:
+- ab 50 MA: Pflicht (gestaffelt: 250 MA seit 02.07.2023, 50-249 MA seit 17.12.2023)
+- < 50 MA: keine Pflicht außer in regulierten Branchen (Finanzdienstleistung, Telekommunikation, Verkehr, Energie etc. — § 12 Abs. 4)
+### § 13 — Vertraulichkeit + Identitätsschutz
+**Wortlaut (Kern)**: Identität des Hinweisgebers ist strikt vertraulich zu behandeln — auch gegenüber Vorgesetzten + Geschäftsleitung. Weitergabe nur mit Einwilligung des Hinweisgebers oder bei rechtlicher Pflicht (Strafverfolgung).
+**Audit-Relevanz**: Tech-Implementation muss verschlüsselt + zugriffs-getrennt sein (Meldestelle-Mitarbeiter ≠ HR ≠ Geschäftsleitung).
+### § 14 — Wahlmöglichkeit Hinweisgeber
+**Wortlaut (Kern)**: Hinweisgeber kann zwischen interner Meldung (§ 12) + externer Meldung (§§ 19-31, an BfJ als zentrale Stelle oder Sektor-Behörde) wählen — kein „Stufenverhältnis".
+### § 15 — Form der Meldung
+**Wortlaut (Kern)**: Meldekanal muss erreichbar sein:
+- **schriftlich** (E-Mail, Online-Form, Brief),
+- **mündlich** (Telefon, Voicemail oder persönliches Treffen auf Wunsch innerhalb angemessener Frist),
+- **persönlich** auf Verlangen.
+### § 16 — Anonyme Meldungen
+**Wortlaut (Kern)**: Anonyme Meldungen SOLLEN entgegengenommen + bearbeitet werden — kein muss, aber Best-Practice.
+**Audit-Relevanz**: Tool-Auswahl: Meldekanal sollte Anonymitäts-Funktion bieten (z.B. Whistlelink, Hintbox, Convercent, EQS Compliance).
+### § 17 — Bearbeitung der Meldung (Pflicht-Fristen)
+**Wortlaut (Kern)**:
+- **Eingangsbestätigung** an Hinweisgeber binnen **7 Tagen**.
+- **Folge-Mitteilung** an Hinweisgeber binnen **3 Monaten** über interne Maßnahmen.
+- Untersuchung muss „Gründlichkeit + Unparteilichkeit" wahren.
+**§ 18 — Dokumentation**: Meldung wird mind. **3 Jahre** dokumentiert (länger bei aktiver Verfolgung).
+---
+## §§ 33–37 — Repressalien-Verbot + Beweislastumkehr
+### § 33 — Schutz vor Repressalien
+**Wortlaut (Kern)**: Verboten sind Repressalien gegenüber Hinweisgebern + Personen, die Hinweisgeber unterstützen — incl.:
+- Kündigung,
+- Versetzung,
+- Gehaltskürzung,
+- Mobbing / Schikane,
+- negative Leistungsbeurteilung,
+- Verweigerung von Beförderung / Schulung.
+### § 36 — Beweislastumkehr
+**Wortlaut**: Wenn Hinweisgeber **nach Meldung** eine berufliche Benachteiligung erleidet, wird **vermutet**, dass die Maßnahme **eine Repressalie für die Meldung darstellt**. Beschäftigungsgeber muss vollen Beweis erbringen, dass Maßnahme aus anderem Grund erfolgte.
+**Audit-Relevanz**: Beweislast-Hebel parallel zu AGG § 22. Termination eines Hinweisgebers = sehr hohes Klage-Risiko.
+### § 37 — Schadensersatz
+**Wortlaut (Kern)**: Hinweisgeber hat Anspruch auf Ersatz materieller + immaterieller Schäden bei Repressalie.
+---
+## § 40 — Bußgeldvorschriften
+**Wortlaut (Kern)**: Ordnungswidrig handelt, wer:
+- **Abs. 1 Nr. 1**: vorsätzlich oder fahrlässig die Einrichtung Meldestelle (§ 12) verhindert / nicht einrichtet,
+- **Abs. 1 Nr. 2**: vorsätzlich Hinweisgeber bei Meldung behindert,
+- **Abs. 1 Nr. 3**: gegen Vertraulichkeitspflicht (§ 13) verstößt,
+- **Abs. 1 Nr. 4**: Repressalien (§ 33) ergreift,
+- **Abs. 1 Nr. 5**: vorsätzlich falsche Information meldet (Hinweisgeber-Falschmeldung).
+**§ 40 Abs. 2 — Bußgeld-Rahmen**:
+- **Behinderung Meldung / Vertraulichkeits-Verstoß**: bis **20.000 €**
+- **Repressalien**: bis **50.000 €**
+- **Fehlende Meldestelle**: bis **20.000 €** (seit 01.12.2023 Sanktion in Kraft)
+- **Falschmeldung Hinweisgeber**: bis 20.000 €
+**Audit-Relevanz**: relativ niedrige direkte Bußgelder, aber Schadensersatz-Klagen + Reputationsschaden + Behörden-Einschaltung (BfJ als zentrale Meldestelle) machen Compliance-Pflicht real.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/INDEX.md ADDED Viewed

@@ -0,0 +1,152 @@
+---
+status: draft-complete (25/25 Tier-1 DE-Statute) — Az.-Listen UNVERIFIZIERT
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md)
+license: gemeinfrei nach § 5 UrhG (DE) per file
+last-checked: 2026-05-05 (file-creation; NICHT Inhalts-Verifikation)
+purpose: Index der 25 Tier-1 DE-Statute-Reference-Files für brutaler-anwalt-Skill-Maxout. Jede Sub-Folder hat paragraphs.md + audit-relevance.md. Pre-Integration: VERIFICATION-NOTES.md lesen.
+---
+# DE-Statute Tier-1 — Index
+25 Tier-1-DE-Statute, geordnet nach Cluster. Jede Folder hat:
+- `paragraphs.md` — Wortlaut (verbatim oder close-paraphrase) der Audit-relevanten §§
+- `audit-relevance.md` — Trigger im Code/UI, €-Range, Az.-Anker, Cross-References
+## Status-Übersicht
+| # | Statute | Folder | Cluster | Status |
+|---|---------|--------|---------|--------|
+| 1 | HWG (Heilmittelwerbegesetz) | de-statute-tier1/HWG/ | Health | ✓ |
+| 2 | AMG (Arzneimittelgesetz) | de-statute-tier1/AMG/ | Health | ✓ |
+| 3 | MPDG (Medizinprodukte-Durchführungsgesetz) | de-statute-tier1/MPDG/ | Health | ✓ |
+| 4 | DiGAV (Digitale-Gesundheitsanwendungen-Verordnung) | de-statute-tier1/DiGAV/ | Health | ✓ |
+| 5 | LFGB (Lebensmittel-/Bedarfsgegenstände-/Futtermittelgesetzbuch) | de-statute-tier1/LFGB/ | Health | ✓ |
+| 6 | GwG (Geldwäschegesetz) | de-statute-tier1/GwG/ | Finance | ✓ |
+| 7 | KWG (Kreditwesengesetz) | de-statute-tier1/KWG/ | Finance | ✓ |
+| 8 | ZAG (Zahlungsdiensteaufsichtsgesetz) | de-statute-tier1/ZAG/ | Finance | ✓ |
+| 9 | WpHG (Wertpapierhandelsgesetz) | de-statute-tier1/WpHG/ | Finance | ✓ |
+| 10 | ArbZG (Arbeitszeitgesetz) | de-statute-tier1/ArbZG/ | Arbeitsrecht | ✓ |
+| 11 | NachwG (Nachweisgesetz) | de-statute-tier1/NachwG/ | Arbeitsrecht | ✓ |
+| 12 | AGG (Allgemeines Gleichbehandlungsgesetz) | de-statute-tier1/AGG/ | Arbeitsrecht | ✓ |
+| 13 | BetrVG (Betriebsverfassungsgesetz) | de-statute-tier1/BetrVG/ | Arbeitsrecht | ✓ |
+| 14 | HinSchG (Hinweisgeberschutzgesetz) | de-statute-tier1/HinSchG/ | Arbeitsrecht | ✓ |
+| 15 | VVG (Versicherungsvertragsgesetz) | de-statute-tier1/VVG/ | Verbraucher | ✓ |
+| 16 | PAngV (Preisangabenverordnung 2022) | de-statute-tier1/PAngV/ | Verbraucher | ✓ |
+| 17 | VerpackG (Verpackungsgesetz) | de-statute-tier1/VerpackG/ | Verbraucher | ✓ |
+| 18 | ElektroG (Elektro-/Elektronikgerätegesetz) | de-statute-tier1/ElektroG/ | Verbraucher | ✓ |
+| 19 | DDG (Digitale-Dienste-Gesetz) | de-statute-tier1/DDG/ | Verbraucher | ✓ |
+| 20 | TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) | de-statute-tier1/TDDDG/ | Verbraucher | ✓ |
+| 21 | VDuG (Verbraucherrechtedurchsetzungsgesetz) | de-statute-tier1/VDuG/ | Verbraucher | ✓ |
+| 22 | RDG (Rechtsdienstleistungsgesetz) | de-statute-tier1/RDG/ | Verbraucher | ✓ |
+| 23 | FernUSG (Fernunterrichtsschutzgesetz) | de-statute-tier1/FernUSG/ | Verbraucher | ✓ |
+| 24 | UrhG + UrhDaG (Urheberrecht + Diensteanbieter) | de-statute-tier1/UrhG-UrhDaG/ | Misc | ✓ |
+| 25 | GeschGehG (Geschäftsgeheimnisgesetz) | de-statute-tier1/GeschGehG/ | Misc | ✓ |
+## Skipped (source-unavailable)
+— keine. Alle 25 Statute geliefert.
+## Quellen-Hinweis + Verifikations-Status
+> **WICHTIG**: Vor Skill-Integration siehe `VERIFICATION-NOTES.md`.
+Primärquelle für alle Files: `gesetze-im-internet.de` (BMJ, gemeinfrei nach § 5 UrhG (DE)).
+In dieser Session-Phase war direkter Fetch von `gesetze-im-internet.de` über WebFetch NICHT möglich (DNS-Resolution-Issue). Verfügbare Sekundär-Quellen:
+- `dejure.org` (selektiv) — AMG § 21, AMG § 95 (Wortlaut-Auszüge)
+- `de.wikipedia.org` — strukturierter Überblick + Auslegungs-Mappings
+- Domain-Wissen — für Az.-Listen + Wortlaut-close-paraphrase (NICHT verifiziert)
+**Az. discipline — KORREKTUR der ursprünglichen Behauptung**: Az.-Listen wurden überwiegend aus Domain-Wissen erstellt; vor Skill-Integration MÜSSEN sie gegen juris/dejure cross-checked werden. Spot-Check FernUSG „12 ZR 35/23" wurde vom Advisor bereits als FALSCH erkannt (BGH-Zivilsenate verwenden römische Ziffern). Default-Annahme: alle Top-Az.-Einträge unverifiziert.
+Frontmatter aller 50 Files trägt jetzt:
+```yaml
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md ...)
+```
+Siehe `VERIFICATION-NOTES.md` für vollständigen Pre-Skill-Integration Pflicht-Pfad.
+## Cross-Cluster-Tabellen
+### Beweislastumkehr — Mechanik in mehreren Statuten
+| Statute | § | Mechanik |
+|---|---|---|
+| AGG | § 22 | Indizien reichen → Beklagte trägt Voll-Beweislast für Sachgrund |
+| HinSchG | § 36 | Berufl. Nachteil nach Meldung = vermutete Repressalie |
+| GeschGehG | § 18 | Beweislast für Geheimhaltung beim Inhaber, dann beim Verletzer |
+| NachwG | (faktisch) | Fehlender Nachweis → AG trägt Beweislast für mündliche Vereinbarung |
+### KMU-Schwellen / Pflicht-Stufen
+| Statute | Schwelle | Pflicht |
+|---|---|---|
+| HinSchG | ≥ 50 MA | Meldekanal Pflicht |
+| BetrVG | ≥ 5 MA | BR-Wahl möglich; ≥ 20 = § 99 voll |
+| ElektroG | ≥ 400 qm Verkaufs-/Lager-Fläche | § 17 Rücknahme |
+| UrhDaG | < 3 J + < € 10 Mio + < 5 Mio Visitors = KMU-Erleichterung | § 2 Abs. 2 S. 2 |
+| GwG | jeder Verpflichtete | KYC-Pflicht ab Schwellen § 10 |
+### Bußgeld-Höchstsätze (Top-Range pro Statute)
+| Statute | Höchst-Bußgeld | § |
+|---|---|---|
+| WpHG | 15 Mio € / 15 % Jahresumsatz | § 120 |
+| GwG | 5 Mio € / 10 % Jahresumsatz | § 56 |
+| KWG | 5 Mio € / 10 % Jahresumsatz | § 56 |
+| ZAG | 5 Mio € / 10 % Jahresumsatz | § 65 |
+| UrhDaG | 5 % weltweiter Jahresumsatz | § 21 |
+| TDDDG | 300.000 € + DSGVO-direkt parallel | § 28 |
+| VerpackG | 200.000 € | § 34 |
+| LFGB | 100.000 € (benannt) | § 60 |
+| ElektroG | 100.000 € | § 29 |
+| HWG | 50.000 € | § 15 |
+| MPDG | 50.000 € OwiG (+ Strafrecht § 92) | § 94 |
+| RDG | 50.000 € | § 20 |
+| DDG | 50.000 € + DSA-direkt 6 % | § 33 |
+| AMG | 25.000-50.000 € OwiG (+ Strafrecht § 95 bis 10 J) | § 97 |
+| PAngV | 25.000 € (+ § 130 OWiG bis 10 Mio) | § 19 |
+| HinSchG | 50.000 € (Repressalien) | § 40 |
+| ArbZG | 15.000 € pro Verstoß | § 22 |
+| FernUSG | 10.000 € (+ § 7 Vertrags-Nichtigkeit) | § 8 |
+| BetrVG | 10.000 € + Unterlassung | § 121 |
+| NachwG | 2.000 € pro Verstoß | § 4 |
+| AGG | 3 Monatsgehälter (§ 15 Abs. 2) | § 15 |
+| GeschGehG | Schadensersatz Lizenzanalogie (+ § 23 Strafrecht bis 5 J) | § 10 / § 23 |
+| VVG | Schadensersatz, BaFin-Aufsicht | § 6 / § 63 |
+| WpHG | s. oben | s. oben |
+| VDuG | Aggregat-Schadensersatz; kein direktes Bußgeld | — |
+| UrhG | Schadensersatz Lizenzanalogie + § 106 Strafrecht bis 3 J | § 97 |
+### Strafrechts-Eskalation (Freiheitsstrafe-Möglichkeiten)
+| Statute | § | Höchststrafe |
+|---|---|---|
+| AMG | § 95 Abs. 3 | 1-10 Jahre (besonders schwerer Fall) |
+| MPDG | § 92 Abs. 2 | bis 10 Jahre (schwerer Fall) |
+| LFGB | § 58 Abs. 6 | 6 Mo - 5 Jahre (schwer) |
+| KWG | § 54 | bis 5 Jahre |
+| ZAG | § 63 | bis 5 Jahre |
+| WpHG | § 119 | 1-10 Jahre (schwer) |
+| GeschGehG | § 23 Abs. 2 | bis 5 Jahre (schwer) |
+| AMG | § 95 Abs. 1 | bis 3 Jahre |
+| MPDG | § 92 Abs. 1 | bis 3 Jahre |
+| LFGB | § 58 Abs. 1 | bis 3 Jahre |
+| UrhG | § 106 | bis 3 Jahre |
+| GeschGehG | § 23 Abs. 1 | bis 3 Jahre |
+| ArbZG | § 23 | bis 1 Jahr (Gesundheitsgefährdung) |
+| HWG | § 14 | bis 1 Jahr |
+## Integration in Skill — Empfehlung
+Pre-Integration:
+1. **Wortlaut-Verifikation** gegen gesetze-im-internet.de (Browser-Fetch) für alle Verbatim-Stellen
+2. **Az.-Cross-Check** mit dejure.org / juris für alle Top-Az.-Listen
+3. **YAML-Frontmatter standardize**: `license / source / last-checked / purpose` (alle 25 haben das)
+4. **Skill-Loader**: hinzufügen zu `references/gesetze/INDEX.md` (Tier-Promotion auf Tier-1)
+5. **Cross-Reference-Audit**: prüfen, dass alle `references/...`-Pfade in Cross-Reference-Sections existieren
+Post-Integration:
+- regression-test in test-cycle (multiple internal customer-projects + AEGIS-self-audit) — siehe Million-Euro-Tier-Roadmap
+- Verlinkung in Master-INDEX (`references/gesetze/INDEX.md`)
+- Sanitize-Pass (keine Operator-Brand-Names oder LLM-Vendor-Refs — alle 25 Files sind clean by design)

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/KWG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,64 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: KWG Audit-Relevance — Bank-/Finanzdienstleistungs-Erlaubnis, Krypto-Custody.
+---
+# KWG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei JEDER Site mit:
+- Krypto-Exchange / Custodial-Wallet
+- Stablecoin-Issuance
+- Brokerage / Trading-Plattform
+- Wertpapier-Vertrieb
+- Banking-/Neobank-Funktion
+- Investment-Anwendung („Robo-Advisor")
+- DeFi-Frontend mit Custody-Layer
+## Trigger im Code/UI
+- **„Wallet-Service" + private-key-control bei Plattform** → § 1 Abs. 1a Nr. 6 → § 32 Erlaubnis Pflicht
+- **„Stake unsere Coins für Yield"** → ggf. Einlagengeschäft § 1 Abs. 1 Nr. 1 → § 32
+- **„Wir vermitteln Investments"** → Anlagevermittlung § 1 Abs. 1a
+- **Cloud-Auslagerung ohne MaRisk/BAIT-Klauseln** → § 25c
+- **Geschäftsleiter wohnt außerhalb DE** → § 33 Erlaubnis-Versagung
+- **Bonus-/Yield-Versprechen** für FIAT-Einzahlungen → ggf. § 32 Verstoß
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Bankgeschäfte ohne Erlaubnis | § 32 + § 54 Abs. 1 | Freiheitsstrafe bis 5 Jahre / Geldstrafe | § 54 KWG |
+| Fahrlässige Variante | § 54 Abs. 3 | bis 3 Jahre | § 54 Abs. 3 KWG |
+| Organisatorische Verstöße | div. | bis 5.000.000 € oder 10 % Jahresumsatz | § 56 Abs. 6 KWG |
+| Auslagerungs-Verstoß | § 25c | OwiG nach § 56 + BaFin-Anweisung | § 25c KWG |
+| BaFin-Lizenzentzug | § 35 | Marktverbot | § 35 KWG |
+## Top-Az. + BaFin-Praxis
+- **BGH 4 StR 144/15** (28.05.2015) — § 54 KWG, Bankgeschäft-Begriff strikt
+- **BaFin Wirecard-Verfahren** (2020-2025) — Erlaubnis-Auflagen + spätere Strafverfahren
+- **BaFin Bekanntmachung Krypto-Verwahrgeschäft (2020)** — Auslegung § 1 Abs. 1a Nr. 6
+- **BaFin Merkblätter MaRisk + BAIT** (regelmäßig aktualisiert) — verbindliche Verwaltungs-Vorgaben
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/Finance/ZAG.md` für Zahlungsdienstleistung-Abgrenzung
+- `references/gesetze/GwG/` für KYC-Pflichten (KWG-Verpflichtete sind GwG-Verpflichtete)
+- `references/gesetze/EU-Verordnungen/MiCA-2023-1114/` für Krypto-Asset-Service-Provider (CASP) ab 30.12.2024
+- `references/gesetze/EU-Verordnungen/DORA-2022-2554/` für IT-/Operational-Resilience ab 17.01.2025
+- `references/gesetze/WpHG/` für Wertpapierdienstleistungen (MiFID-II-Umsetzung)
+- `references/audit-patterns.md` Phase 4 für Onboarding/KYC-Surface
+## Krypto-Lizenz-Pfade in DE (Stand 2026)
+| Modell | Erforderlich |
+|---|---|
+| Custodial Wallet / Exchange | KWG § 32 (Krypto-Verwahrgeschäft seit 01.01.2020) + GwG-Verpflichteten-Status |
+| MiCA CASP-Lizenz | EU 2023/1114 — ab 30.12.2024 für CASPs (Custody, Exchange, Trading-Platform) |
+| DLT-Pilot-Regime | EU 2022/858 — temporär für tokenisierte Wertpapiere |
+| Pure Software-as-a-Service (kein Custody) | KEINE KWG-Erlaubnis nötig (BaFin-Auslegung Einzelfall) |
+**Übergangsregelung MiCA**: Bestehende DE-Krypto-Custody-Lizenzen nach KWG müssen bis 31.12.2025 zur MiCA-CASP-Lizenz upgraden.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/KWG/paragraphs.md ADDED Viewed

@@ -0,0 +1,110 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/kredwg/
+last-checked: 2026-05-05
+purpose: KWG (Kreditwesengesetz) — Erlaubnispflicht für Bank-/Finanzdienstleistungs-Geschäft, Kryptoverwahrgeschäft.
+---
+# KWG — Kern-Paragraphen
+> Kreditwesengesetz (KWG).
+> Volltext: https://www.gesetze-im-internet.de/kredwg/
+## § 1 — Begriffsbestimmungen
+**Wortlaut (Kern, Abs. 1)**: Kreditinstitute sind Unternehmen, die Bankgeschäfte gewerbsmäßig betreiben — insb.:
+- **Nr. 1**: Einlagengeschäft (fremde Gelder als Einlagen anzunehmen),
+- **Nr. 2**: Pfandbriefgeschäft,
+- **Nr. 4**: Finanzkommissionsgeschäft (Anschaffung/Veräußerung von Finanzinstrumenten in eigenem Namen für fremde Rechnung),
+- **Nr. 7**: Diskontgeschäft,
+- **Nr. 8**: Investmentgeschäft.
+**§ 1 Abs. 1a — Finanzdienstleistungen**:
+- Anlagevermittlung, Anlageberatung, Betrieb eines multilateralen Handelssystems,
+- **Nr. 6 — Kryptoverwahrgeschäft**: Verwahrung, Verwaltung und Sicherung von Kryptowerten oder privater kryptografischer Schlüssel für andere.
+**Audit-Relevanz**: zentrale Trigger-Norm. Wer Krypto-Custody betreibt = Finanzdienstleistungs-Institut → BaFin-Erlaubnis (§ 32) Pflicht.
+---
+## § 1 Abs. 11 — Kryptowerte
+**Wortlaut (Kern)**: Kryptowerte sind digitale Darstellungen eines Wertes, die nicht gesetzliches Zahlungsmittel sind aber als Tausch- oder Zahlungsmittel akzeptiert werden, Anlagezwecke verfolgen oder elektronisch übertragen, gespeichert und gehandelt werden können. **Stablecoins, Utility-Token, Security-Token, NFTs** können (je nach Ausgestaltung) Kryptowerte sein.
+---
+## § 32 — Erlaubnispflicht
+**Wortlaut (Kern, Abs. 1)**: Wer im Inland gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, Bankgeschäfte betreiben oder Finanzdienstleistungen erbringen will, bedarf der **schriftlichen Erlaubnis der Aufsichtsbehörde (BaFin)**.
+**§ 32 Abs. 2**: Erlaubnis-Voraussetzungen u.a.:
+- ausreichendes Eigenkapital,
+- mindestens zwei zuverlässige + fachlich geeignete Geschäftsleiter („Vier-Augen-Prinzip"),
+- vollständiger Geschäftsplan,
+- Angaben zu wirtschaftlich Berechtigten,
+- Angaben zu wesentlichen Beteiligten + deren Zuverlässigkeit.
+**Audit-Relevanz**: harter Gate-Faktor. Krypto-Plattform / Wallet / DeFi-Frontend ohne BaFin-Erlaubnis = § 54-Strafraum. „Lite"-Modelle (Pre-Filter über DLT-Pilot) NICHT für Standardbetrieb.
+---
+## § 33 — Versagung der Erlaubnis
+**Wortlaut (Kern)**: BaFin versagt Erlaubnis, wenn:
+- Kapital nicht ausreichend (regulatorisches Mindestkapital, je nach Geschäft 125k € – 5 Mio €),
+- Geschäftsleiter nicht zuverlässig oder fachlich nicht geeignet,
+- bedeutende Beteiligte nicht zuverlässig,
+- Geschäftsleiter ihre Tätigkeit nicht in DE haupt-ausüben.
+---
+## § 35 — Aufhebung der Erlaubnis
+**Wortlaut (Kern)**: BaFin kann Erlaubnis widerrufen bei:
+- nachträglichem Wegfall der Erteilungs-Voraussetzungen,
+- groben Pflicht-Verstößen,
+- Gefährdung der Aufsicht,
+- nicht ausgenutzter Erlaubnis (12 Monate).
+**Audit-Relevanz**: bei Compliance-Defiziten kann BaFin Lizenz entziehen → Marktverbot.
+---
+## § 54 — Strafvorschriften
+**Wortlaut (Kern, Abs. 1)**: Mit Freiheitsstrafe bis zu **fünf Jahren** oder mit Geldstrafe wird bestraft, wer ohne Erlaubnis nach § 32 Abs. 1 Bankgeschäfte betreibt oder Finanzdienstleistungen erbringt.
+**§ 54 Abs. 2**: Versuch ist strafbar.
+**§ 54 Abs. 3**: Bei Fahrlässigkeit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.
+**Audit-Relevanz**: zentrales Risiko bei Krypto-Startups. „Wir hosten nur Wallets" / „wir sind nur Software-Layer" — entscheidet im Einzelfall die Tatsachenbeurteilung der BaFin / Staatsanwaltschaft. Strafverfolgung gegen Geschäftsleiter persönlich.
+---
+## § 56 — Bußgeldvorschriften
+**Wortlaut (Kern)**: Ordnungswidrig handelt, wer gegen organisatorische, Berichts- und Eigenkapital-Pflichten verstößt.
+**§ 56 Abs. 6 — Bußgeld-Rahmen**:
+- bis **5.000.000 €** oder **10 % des Jahresumsatzes** (höherer Betrag) bei schweren Verstößen,
+- für natürliche Personen bis **5.000.000 €**.
+**Audit-Relevanz**: parallel zur GwG-§-56-Sanktion (s. dort).
+---
+## § 25c — Aufsichtsrechtliche Anforderungen an Auslagerung
+**Wortlaut (Kern)**: Wesentliche Auslagerungen (z.B. Cloud-Hosting, Trading-Backend) müssen vorher BaFin angezeigt werden + Auslagerungs-Vertrag muss BaFin-Zugangs-/Prüfungsrechte enthalten.
+**Audit-Relevanz**: AWS/GCP/Azure-Verträge müssen MaRisk-/BAIT-konforme Klauseln enthalten. Cross-Ref DORA (EU 2022/2554) ab 17.01.2025.
+---
+## § 25h — IT-Sicherheits-Anforderungen
+**Wortlaut (Kern)**: Verweis auf MaRisk + BAIT (BaFin-Verwaltungs-Vorgaben). IT-System-Sicherheit, Notfallplan, Penetrationstests, regelmäßiges Vulnerability-Management.
+**Audit-Relevanz**: technischer Audit-Surface — überlappt mit DORA + DiGAV-Anforderungen + BSI-IT-Grundschutz.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/LFGB/audit-relevance.md ADDED Viewed

@@ -0,0 +1,63 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: LFGB Audit-Relevance — Lebensmittel-/Supplement-/Bedarfsgegenstände-Werbung.
+---
+# LFGB — Audit-Relevance
+## Auto-Loading-Trigger
+Bei Sites mit:
+- E-Commerce für Lebensmittel
+- Online-Shop für Nahrungsergänzungsmittel
+- Health-Food / Supplement / „Superfood"-Vermarktung
+- Kosmetika
+- Verpackungen / Spielzeug / Hautkontakt-Produkte
+## Trigger im Code/UI
+- **„Detox", „Booster", „Anti-Aging"** ohne Health-Claim-VO-1924-Zulassung → § 11
+- **„Hilft bei Erkältung"** auf Vitamin-/Tee-Shop → § 11 + Funktions-Arzneimittel-Risiko (AMG)
+- **Produkt-Foto unterscheidet sich von Inhalt** → § 13 (Mogelpackung)
+- **„Natürlich" für hochverarbeitete Lebensmittel** → § 12
+- **„Bio" ohne EU-Bio-Zertifizierung** → § 11 + Öko-Kennzeichen-Gesetz
+- **Allergen-Info fehlt** auf Produkt-Detail-Seite → LMIV Art. 9 + § 60 LFGB
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Gesundheitsgefährdender Verkehr | § 5 + § 58 | Freiheitsstrafe bis 3 Jahre / Geldstrafe; bes. schw. Fall 6Mo-5J | § 58 LFGB |
+| Täuschung (Werbung) | § 11 + § 60 | bis 50.000 € (Standard) / bis 100.000 € (benannt) | § 60 Abs. 5 LFGB |
+| Hygiene/Zusatzstoffe | § 59 | bis 1 Jahr / Geldstrafe | § 59 LFGB |
+| Kennzeichnungs-OwiG | § 60 | bis 50.000 € | § 60 Abs. 5 LFGB |
+UWG-§-3a-Abmahnung-Risiko: Lebensmittel-Werbung-Verstöße sind Marktverhaltensregelungen → von Wettbewerbern abmahnbar (Wettbewerbszentrale aktiv).
+## Top-Az.
+- **EuGH C-19/15 Innova Vital** — Anforderungen an gesundheitsbezogene Werbung an Fachleute
+- **EuGH C-544/10 Deutsches Weintor** — „bekömmlich" als gesundheitsbezogene Angabe
+- **BGH I ZR 71/13 „Original Bachblüten"** — Auslobungen ohne wissenschaftliche Belege
+- **BGH I ZR 162/16** — „pflanzlich" / „natürlich" als § 11-Anker
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/UWG/audit-relevance.md` § 3a (Rechtsbruch) — LFGB-Verstöße sind UWG-abmahnbar
+- `references/gesetze/HWG/` Abgrenzung Lebensmittel-vs-Heilmittel-Werbung
+- `references/gesetze/AMG/` Abgrenzung Lebensmittel-vs-Funktions-Arzneimittel
+- `references/gesetze/EU-Verordnungen/LMIV-1169-2011/` für Allergen-/Nährwert-Kennzeichnung
+- `references/gesetze/EU-Verordnungen/Health-Claim-VO-1924-2006/` für zugelassene Aussagen
+- `references/audit-patterns.md` Phase 5g für E-Commerce-Werbung-Surface
+## Sektor-Abgrenzung
+| Produkt | Maßgebliches Recht |
+|---|---|
+| Lebensmittel ohne Heilversprechen | LFGB + LMIV |
+| Lebensmittel mit zugelassener Health-Claim | LFGB + LMIV + VO 1924/2006 |
+| Lebensmittel mit nicht zugel. Heilversprechen | LFGB-Verstoß + AMG-Risiko (Funktionsarzneimittel) |
+| Nahrungsergänzungsmittel | NemV + LFGB |
+| Kosmetik | Kosmetik-VO 1223/2009 + LFGB §§ 17 ff |
+| Bedarfsgegenstände (Verpackung, Spielzeug) | LFGB §§ 17–32 |

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/LFGB/paragraphs.md ADDED Viewed

@@ -0,0 +1,90 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/lfgb/
+last-checked: 2026-05-05
+purpose: LFGB (Lebensmittel-, Bedarfsgegenstände- und Futtermittelgesetzbuch) — Lebensmittel-Verkehr, Schutz vor Täuschung, Werbeverbote.
+---
+# LFGB — Kern-Paragraphen
+> Lebensmittel-, Bedarfsgegenstände- und Futtermittelgesetzbuch (LFGB), Stammgesetz 2005.
+> Volltext: https://www.gesetze-im-internet.de/lfgb/
+## § 1 — Anwendungsbereich + Zweck
+**Wortlaut (Kern)**: LFGB schützt
+- die Gesundheit der Verbraucher (Verbraucherschutz, ergänzt VO (EG) 178/2002),
+- vor Täuschung beim Verkehr mit Lebensmitteln, Bedarfsgegenständen, Kosmetika und Futtermitteln,
+- die Information der Verbraucher.
+**Audit-Relevanz**: Geltungsbereich-Trigger. Setzt VO (EG) 178/2002 + LMIV (1169/2011) + Health-Claim-VO (1924/2006) auf nationaler Ebene um.
+---
+## § 5 — Verbote zum Schutz der Gesundheit
+**Wortlaut (Kern)**: Es ist verboten, Lebensmittel für andere derart herzustellen oder zu behandeln, dass ihr Verzehr gesundheitsschädlich ist (i.S.d. Art. 14 Abs. 2 Buchst. a VO (EG) 178/2002).
+**Audit-Relevanz**: Compliance-Surface bei E-Commerce mit Lebensmitteln (auch Supplements).
+---
+## § 11 — Vorschriften zum Schutz vor Täuschung
+**Wortlaut (Kern, Abs. 1)**: Es ist verboten, als Lebensmittelunternehmer (Art. 8 Abs. 1 VO (EU) 1169/2011) Informationen über Lebensmittel bereitzustellen, die nicht den Anforderungen von Art. 7 LMIV (irreführende Informationen) genügen — insb. zu Eigenschaften des Lebensmittels, zu Wirkungen, zu Heilversprechen, zur Herkunft.
+**§ 11 Abs. 2**: Es ist verboten, als Lebensmittelunternehmer (Art. 8 Abs. 8 VO (EU) 1169/2011) anderen Lebensmittelunternehmern (B2B) Informationen bereitzustellen, die ebenfalls Art. 7 LMIV verletzen.
+**Audit-Relevanz**: zentrale Norm für Lebensmittel-Werbung. Gesundheitsbezogene Aussagen ohne Health-Claim-VO-1924/2006-Genehmigung = LFGB-§-11-Verstoß. Auch Begriffe wie „Detox", „Anti-Aging", „Booster" für Supplements.
+---
+## § 12 — Verbote zum Schutz vor Täuschung bei der Herstellung oder Behandlung
+**Wortlaut (Kern)**: Lebensmittel dürfen nicht so hergestellt / behandelt werden, dass durch Verfahren, die nach allgemeiner Verkehrsauffassung nicht zu erwarten sind, eine Täuschung über Beschaffenheit, Herkunft oder Eigenschaften herbeigeführt wird.
+**Audit-Relevanz**: typisch bei Marketing-Behauptungen wie „natürlich" für hochverarbeitete Produkte.
+---
+## § 13 — Verbote zum Schutz vor sonstigen Täuschungen
+**Wortlaut (Kern)**: Verbot von Aufmachungen, die zur Täuschung geeignet sind — z.B. Verpackungs-Designs, die Inhalte / Mengen / Beschaffenheit suggerieren, die nicht zutreffen.
+**Audit-Relevanz**: „Mogelpackung" + Photos auf Site / Werbung, die Produkt anders darstellen als es ist.
+---
+## § 17 — Verkehrsverbote für Bedarfsgegenstände
+**Wortlaut (Kern)**: Bedarfsgegenstände (Verpackungen, Kosmetika, Spielzeug, Bekleidung mit Hautkontakt) dürfen nicht in Verkehr gebracht werden, wenn sie geeignet sind, Gesundheit zu schädigen.
+---
+## § 58 — Strafvorschriften
+**Wortlaut (Kern, Abs. 1)**: Mit Freiheitsstrafe bis zu **drei Jahren** oder mit Geldstrafe wird bestraft, wer
+- gegen Gesundheitsschutz-Vorschriften (§ 5) verstößt,
+- Lebensmittel mit verbotenen Stoffen / über Höchstmengen in Verkehr bringt,
+- Sicherheits-Vorschriften für Bedarfsgegenstände verletzt.
+**§ 58 Abs. 5**: Versuch ist strafbar. Bei Fahrlässigkeit Freiheitsstrafe bis zu einem Jahr.
+**§ 58 Abs. 6 — Besonders schwerer Fall**: Freiheitsstrafe sechs Monate bis fünf Jahre bei Gesundheitsgefährdung vieler Menschen.
+---
+## § 59 — Strafvorschriften (weitere)
+**Wortlaut (Kern)**: Freiheitsstrafe bis zu einem Jahr oder Geldstrafe für Verstöße gegen Vorschriften zur Lebensmittelhygiene, zu Allergenen, zu Zusatzstoffen.
+---
+## § 60 — Bußgeldvorschriften
+**Wortlaut (Kern)**: Ordnungswidrig handelt, wer fahrlässig oder vorsätzlich gegen Kennzeichnungs-, Verkehrs-, Werbe-Vorschriften der LMIV / Health-Claim-VO / LFGB verstößt.
+**§ 60 Abs. 5 — Bußgeld-Rahmen**: Geldbuße bis zu **fünfzigtausend Euro (50.000 €)**, in benannten Fällen bis zu **einhunderttausend Euro (100.000 €)**.
+**Audit-Relevanz**: Fall-back für Werbe- und Kennzeichnungs-Verstöße. Hauptauslöser für Behörden-Bußgeld. Daneben UWG-§-3a-Abmahnung.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/MPDG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,61 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: MPDG Audit-Relevance — Medizinprodukte / Software-as-Medical-Device.
+---
+# MPDG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei Sites / Apps mit:
+- Health-Tracking (Vital-Werte, EKG, Blutzucker, Schlaf-Apnoe etc.)
+- Symptom-Checker / Diagnose-Tools
+- Therapie-Apps / Coaching mit medizinischem Zweck
+- Diabetes-/Asthma-Management
+- DiGA (BfArM-gelistet oder im Antrag)
+- Wearables mit Gesundheitsmessung
+- AI-basierten medizinischen Diagnose-Outputs
+## Trigger im Code/UI
+- **„Symptom-Check" + Diagnose-Output** → Software-as-MedDevice, MDR Klasse IIa+ → CE-Mark Pflicht (§ 7)
+- **Vital-Daten-Tracking + Empfehlung** („nehmen Sie Insulin XX") → Klasse IIb möglich → CE-Mark Pflicht
+- **App-Store ohne CE-Mark + Diagnose-Funktion** → § 7 + § 92 Strafrisiko
+- **Englische Gebrauchsanweisung für DE-Endkunden** → § 4 Sprach-Verstoß
+- **Non-EU-Hersteller ohne Bevollmächtigten** → § 6
+- **Fehlende UDI-Kennzeichnung** → MDR Art. 27 + § 94 OwiG
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Inverkehrbringen ohne CE-Mark | § 7 + § 92 Abs. 1 | Freiheitsstrafe bis 3 Jahre / Geldstrafe; bes. schwerer Fall bis 10 Jahre | § 92 MPDG |
+| Klin. Prüfung ohne Genehmigung | §§ 14ff + § 92 | bis 3 Jahre | § 92 MPDG |
+| Sprache / Kennzeichnung | § 4 + § 93 | bis 1 Jahr / Geldstrafe | § 93 MPDG |
+| Formal-Pflichten OwiG | § 94 | bis 30.000 € (Standard) / bis 50.000 € | § 94 Abs. 5 MPDG |
+## Top-Az.
+- **EuGH C-329/16 SNITEM/Philips** (07.12.2017) — Software kann eigenständig Medizinprodukt sein, wenn medizinischer Zweck
+- **OLG Frankfurt 6 U 175/18** — „Symptom-Checker" als Klasse-IIa-MedDevice eingestuft
+- **BfArM-Bekanntmachung MDCG 2019-11** — Software-Klassifizierungs-Leitlinie (kein Az., aber zentrale Verwaltungs-Vorgabe)
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/HWG/` für Werbung über CE-MDP-Produkte (HWG seit 26.05.2021 erweitert)
+- `references/gesetze/AMG/` für Abgrenzung Arzneimittel-vs-Medizinprodukt
+- `references/gesetze/DiGAV/` für DiGA-spezifische Datenschutz-/Sicherheits-Vorgaben (BSI TR-03161)
+- `references/gesetze/EU-Verordnungen/MDR-2017-745/` für direkt anwendbare EU-Norm
+- `references/dsgvo.md` Art. 9 für Health-Daten-Verarbeitung
+## Klassifizierungs-Hilfe (MDR Annex VIII Rule 11 — Software)
+| Klasse | Bedingung | Beispiel |
+|---|---|---|
+| I | Software, die Daten speichert / archiviert ohne Diagnose | Patientenakte-App ohne Auswertung |
+| IIa | Diagnose-/Therapie-Entscheidungen unterstützen | Symptom-Tracker mit Empfehlung |
+| IIb | Ernster Schaden bei Fehlentscheidung möglich | Insulin-Dosis-Berechnung |
+| III | Tod oder schwere Verschlechterung möglich | Beatmungssteuerung, Strahlentherapie |
+DiGA = typisch IIa (gelegentlich IIb).