npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.1 - Mend

@aegis-scan/skills 0.5.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (346) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DSA-2022-2065/notice-and-action.md ADDED Viewed

@@ -0,0 +1,138 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+last-checked: 2026-05-02
+purpose: DSA Art. 16-17 — Notice-and-Action Mechanismus + Statement of Reasons.
+---
+# DSA — Art. 16-17 Notice-and-Action
+> Pflicht fuer JEDEN Hosting-Provider (auch klein). Kern-Audit-Surface fuer UGC-Plattformen.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+## Art. 16 — Notice-Mechanismus
+### Pflicht-Eigenschaften
+- **Leicht zugaenglich** + **Benutzerfreundlich**
+- **Elektronisch + Maschinen-lesbar einreichbar**
+- **Kostenlos**
+### Pflicht-Felder im Notice-Form
+```typescript
+type DSANotice = {
+  // Art. 16 Abs. 2 lit. a
+  reason: string;             // Begruendung warum Inhalt rechtswidrig
+  // Art. 16 Abs. 2 lit. b
+  url: string;                // hinreichend praezise URL des Inhalts
+  // Art. 16 Abs. 2 lit. c
+  notifierName?: string;      // Name (Pflicht ausser bei sexuell-bezogenen Straftaten)
+  notifierEmail?: string;     // Email
+  // Art. 16 Abs. 2 lit. d
+  goodFaithDeclaration: boolean;  // Erklaerung der Wahrheit
+};
+```
+### Pflicht-API-Pattern
+```ts
+// File: src/app/api/<board>/<id>/report/route.ts
+export async function POST(req: Request) {
+  const notice = await req.json();
+  // Art. 16 Abs. 2 — Pflicht-Validierung
+  const required = ['reason', 'url', 'goodFaithDeclaration'];
+  for (const field of required) {
+    if (!notice[field]) return NextResponse.json({ error: `Missing: ${field}` }, { status: 400 });
+  }
+  // Art. 16 Abs. 5 — Bestaetigung an Notifier
+  await sendConfirmation(notice.notifierEmail, noticeId);
+  // Asynchron: Bearbeitung + Statement of Reasons (Art. 17)
+  await queue.add('moderate', { noticeId });
+  return NextResponse.json({ noticeId, status: 'received' }, { status: 200 });
+}
+```
+### Bestaetigung an Notifier (Art. 16 Abs. 5)
+- Unverzuegliche Eingangsbestaetigung
+- Aktualisierung bei Entscheidung
+## Art. 17 — Statement of Reasons (Begruendung)
+Bei jedem Eingriff (Inhaltsentfernung / Sichtbarkeits-Reduktion / Account-Sperre / Zugriffs-Beschraenkung):
+### Pflicht-Inhalt
+| Art. 17 Abs. | Pflicht | Beispiel |
+|---|---|---|
+| Abs. 3 lit. a | Tatsachen + Begruendung | „Inhalt verstoesst gegen § 4 Abs. 1 JuSchG" |
+| Abs. 3 lit. b | Faktischer / rechtlicher Massstab | „User-Beitrag X enthielt unzulaessige Werbung an Minderjaehrige" |
+| Abs. 3 lit. c | Automatisierte Entscheidung? | „Bewertung erfolgte teilweise automatisiert (Image-Classifier)" |
+| Abs. 3 lit. d | Klarstellung Beschwerdemoeglichkeit | „Sie koennen Beschwerde einlegen ueber unser internes Beschwerdemanagement (Art. 20 DSA) — Link" |
+### Quellen-Zugang (Art. 17 Abs. 5)
+- Statement of Reasons MUSS in **maschinenlesbarem Format** verfuegbar sein
+- Fuer VLOPs/VLOSEs: Veroeffentlichung in **DSA Transparency Database**
+- KMU-Plattformen: nur an betroffenen User uebermitteln
+### Pflicht-DSA-Database-Format (fuer VLOPs)
+JSON-Schema des EU DSA Transparency Database:
+```json
+{
+  "decision_visibility": "removed|invisible|limited",
+  "decision_monetary": "yes|no",
+  "decision_provision": "content_removal|account_termination|...",
+  "decision_account": "account_terminated|account_suspended|...",
+  "decision_ground": "illegal_content|tos_violation",
+  "category_specification": ["NAR", "POR_05", ...],
+  "automated_detection": true|false,
+  "automated_decision": "FULLY_AUTOMATED|PARTIALLY_AUTOMATED|NOT_AUTOMATED",
+  "platform_uid": "<plattform-uid>",
+  "incompatible_content": "<text>",
+  "decision_facts": "<text>",
+  "decision_visibility_other": "<text>"
+}
+```
+## Audit-Checkliste (fuer Skill)
+```bash
+# 1. Notice-Endpoint vorhanden + erreichbar?
+curl -X POST -H "Content-Type: application/json" \
+  -d '{"reason":"test","url":"https://example.com/post/1","goodFaithDeclaration":true}' \
+  https://example.com/api/report -i
+# Erwartung: 200 mit noticeId, oder 401 wenn Auth notwendig (auch akzeptabel)
+# 2. Form vorhanden auf UGC-Detail-Page?
+curl -s https://example.com/post/1 | grep -oE "report\|melden\|flag"
+# 3. Statement of Reasons User-erhaelt-Pattern existiert?
+grep -rE "Statement of Reasons\|Begruendung\|Beschwerdemanagement" \
+  src/components/email/
+# 4. DSA-Transparency-DB Submission (nur fuer VLOPs)
+# manuell pruefen ob Plattform-UID vorhanden + jaehrlicher Submission-Cron
+```
+## Az.-Anker
+- DSA wirkt erst seit 17.02.2024 — Praxisrechtsprechung im Aufbau
+- Bezugsfaelle: Hosting-Privileg-Linie EuGH C-682/18 / C-683/18 (YouTube + Cyando)
+## Sanktionen
+DDG §§ 18-22 (DE-Umsetzung) + Art. 52 DSA:
+- VLOPs: bis 6% globaler Jahresumsatz
+- KMU-Plattformen: bis 50.000 EUR pro Verstoss
+## Source
+- [eur-lex.europa.eu — VO 2022/2065 Art. 16-17](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065#art_16)
+- [DSA Transparency Database](https://transparency.dsa.ec.europa.eu/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DSA-2022-2065/small-platform-pflichten.md ADDED Viewed

@@ -0,0 +1,109 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+last-checked: 2026-05-02
+purpose: DSA Art. 19 KMU-Privileg + Pflichten kleiner Online-Plattformen.
+---
+# DSA — KMU-Plattform-Pflichten + Art. 19 Privileg
+> Kernframework fuer kleine UGC-Plattformen ohne VLOP-Status.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+## Schwellenwerte
+| Plattform-Typ | Schwelle |
+|---|---|
+| **Vermittlungsdienst** (Mere Conduit, Caching, Hosting) | alle |
+| **Hosting-Provider** | alle die Inhalte fuer User speichern |
+| **Online-Plattform** | Hosting + Verbreitung an Oeffentlichkeit (Marketplace, Social Media) |
+| **KMU-Plattform** | unter Art. 19 Schwelle: < 50 MA + < 10 Mio. EUR Umsatz / Bilanzsumme |
+| **VLOP** | >= 45 Mio. EU-User monatlich |
+## Art. 19 KMU-Privileg
+Online-Plattformen **unter** der KMU-Schwelle sind **befreit** von:
+- Art. 20 (Internes Beschwerdemanagement)
+- Art. 21 (Aussergerichtliche Streitbeilegung)
+- Art. 22 (Trusted Flaggers)
+- Art. 23 (Massnahmen gegen Missbrauch)
+- Art. 24 (Transparenzberichte)
+- Art. 25 (Dark-Pattern-Verbot — Pflicht aber NICHT)
+- Art. 26 (Werbe-Transparenz Pflicht aber NICHT)
+**Trotzdem Pflicht** fuer KMU-Plattformen:
+- Art. 14 (AGB-Pflichten)
+- Art. 16-17 (Notice-and-Action + Statement of Reasons)
+- Art. 18 (Strafverdacht melden)
+## Pflichten fuer JEDEN Hosting-Provider (auch kleinste)
+Selbst der kleinste UGC-Hoster (Forum mit 100 Usern, Klein-Marketplace mit 5 Anbietern):
+| Pflicht | Surface |
+|---|---|
+| Art. 14 — AGB transparent | AGB |
+| Art. 16 — Notice-Endpoint | API-Route |
+| Art. 17 — Statement of Reasons | Email/UI |
+| Art. 18 — Strafverdacht-Meldung | interne Procedure |
+## Pflichten erst ab Online-Plattform-Status
+| Pflicht | Trigger |
+|---|---|
+| Art. 14 + zusaetzliche AGB-Klauseln | Online-Plattform |
+| Art. 30 — Marktplatz-Trader-KYC | Marketplace |
+| Art. 28 — Kinderschutz | Site die Minderjaehrige adressiert |
+## Audit-Frage-Kette (Skill-Decision-Tree)
+```
+1. Ist die Site Hosting-Provider? (User-Inhalte werden gespeichert?)
+   ├─ NEIN → DSA nicht anwendbar (Vermittlungs-RL aber moeglich)
+   └─ JA → weiter
+2. Ist die Site Online-Plattform? (Inhalte werden auch oeffentlich verbreitet?)
+   ├─ NEIN → nur Hosting-Pflichten (Art. 14 + 16-18) anwenden
+   └─ JA → weiter
+3. Ist die Plattform KMU-privilegiert? (< 50 MA + < 10 Mio. EUR)
+   ├─ JA → Art. 14 + 16-18 + (ggf. Art. 28 wenn Kinder-Adressat) + (ggf. Art. 30 wenn Marketplace)
+   └─ NEIN → Vollstaendige Online-Plattform-Pflichten Art. 19-29
+                ├─ Plus VLOP-Schwelle (45 Mio. EU-User)?
+                ├─ JA → Art. 33-43 zusaetzlich
+                └─ NEIN → KEIN VLOP-Stack
+```
+## Audit-Pattern fuer KMU-UGC-Plattform
+```bash
+# 1. Notice-and-Action-Endpoint — Pflicht egal wie klein
+curl -X POST https://example.com/api/report -d '{...}' -i
+# Erwartung: 200/202 oder 401 (Auth ok)
+# 2. AGB-Pflichten Art. 14
+curl -s https://example.com/agb | grep -ic "moderation\|inhaltsmoderation\|notice"
+# 3. KMU-Privileg ueberprüfen (Operator-Indication)
+# Skill stellt Klaerungsfrage: „Hat Plattform-Betreiber > 50 MA oder > 10 Mio. EUR Umsatz?"
+# 4. Wenn KMU: Pflichten reduzieren
+# Wenn nicht-KMU: vollstaendige Online-Plattform-Pflichten anwenden
+```
+## Sanktionen
+DDG §§ 18-22 + Art. 52 DSA:
+- KMU: bis 50.000 EUR pro Verstoss
+- Non-KMU + Non-VLOP: bis 6% Jahresumsatz nicht direkt anwendbar (KOM-Aufsicht erst ab VLOP); DSC kann Bussgeld nach DDG verhaengen
+- Mehrfache Verstoesse koennen kumulieren
+## Cross-Reference
+- Audit-Patterns Phase 5c (UGC-PII) : `references/audit-patterns.md`
+- Branchenrecht.md Marketplace-Section: `references/branchenrecht.md`
+## Source
+- [eur-lex.europa.eu — VO 2022/2065 Art. 19 + Art. 14-18](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065)
+- [DDG §§ 18-22 (DE-Umsetzung)](https://www.gesetze-im-internet.de/ddg/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DSA-2022-2065/trusted-flaggers.md ADDED Viewed

@@ -0,0 +1,77 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+last-checked: 2026-05-02
+purpose: DSA Art. 22 — Trusted Flaggers + priorisierte Notice-Bearbeitung.
+---
+# DSA — Art. 22 Trusted Flaggers
+> Trusted Flaggers sind zertifizierte Organisationen die priorisierte Notice-Bearbeitung erhalten.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065#art_22
+## Konzept
+Pflicht fuer **Online-Plattformen** (nicht nur Hosting): Notices von Trusted Flaggers werden:
+- **Prioritaer** behandelt
+- **Unverzueglich** geprueft
+- **Beschleunigt entschieden**
+## Trusted-Flagger-Status (Art. 22 Abs. 2)
+Verleihung durch DSC (Digital Services Coordinator) im Mitgliedstaat:
+| Voraussetzung | Detail |
+|---|---|
+| Besondere Expertise | im jeweiligen Bereich (z.B. Kinder-Schutz / Hate-Speech / Markenrecht / Urheberrecht) |
+| Repraesentation kollektiver Interessen | nicht einzeln-kommerziell |
+| Unabhaengig von Plattformen | keine wirtschaftliche Verflechtung |
+| Sorgfaeltige + objektive + genaue Notice-Submission | Track-Record nachweisbar |
+## DE-Umsetzung
+In DE: **Bundeszentrale fuer Kinder- und Jugendmedienschutz (BzKJ)** ist DSC fuer Jugendschutz-Bereich.
+Quelle: https://www.bzkj.de/
+Aktuelle DE Trusted Flagger 2026 (Stand 2026-05):
+- jugendschutz.net (Kinder/Jugendmedien)
+- klicksafe.de
+- HateAid (Hate-Speech)
+- Reporters ohne Grenzen (RoG, Pressefreiheit)
+- Internet Watch Foundation (CSAM, mit DE-Reach)
+Liste pflegt das BzKJ + EU-Kommission auf https://digital-strategy.ec.europa.eu/
+## Audit-Checkliste
+Wenn HUNTER eine UGC-Plattform untersucht:
+```bash
+# 1. Plattform hat priorisierten Notice-Pfad fuer Trusted Flaggers?
+grep -rE "trusted.flagger|priorit\w+ notice" src/api/
+# 2. Plattform stellt Liste der Trusted Flaggers in AGB bereit?
+curl -s https://example.com/agb | grep -ic "trusted flagger\|vertrauenswuerdiger hinweisgeber"
+# 3. Reporting-Kanal explizit fuer Trusted Flaggers (e.g. dedizierter API-Endpoint)?
+curl -X POST -H "X-Trusted-Flagger: BzKJ-2025-001" \
+  https://example.com/api/dsa/notice/priority -i
+```
+## Auswirkung auf Plattform-Operations
+Wenn Plattform > 50 MA + > 10 Mio. Umsatz (Online-Plattform-Status):
+- Pflicht zur Trusted-Flagger-Akzeptanz
+- Pflicht zur Reporting-Quartal (Art. 24 DSA)
+- KMU-Privileg laeuft NICHT auf Trusted Flagger Pflicht (Art. 19 KMU-Privileg gilt nur fuer einige Pflichten)
+## Sanktionen
+Pflichtverletzung kann nach DDG §§ 18-22 + Art. 52 DSA mit bis 6% Jahresumsatz (VLOPs) bzw. bis 50.000 EUR (KMU-Plattformen) geahndet werden.
+## Source
+- [eur-lex.europa.eu — VO 2022/2065 Art. 22](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065#art_22)
+- [BzKJ — DSC fuer Jugendschutz](https://www.bzkj.de/)
+- [Aktuelle DSC-Liste der EU](https://digital-strategy.ec.europa.eu/de/policies/dsa-dscs)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/DSA-2022-2065/vlop-vlose.md ADDED Viewed

@@ -0,0 +1,130 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+last-checked: 2026-05-02
+purpose: DSA Art. 33-43 — VLOP / VLOSE Pflichten (sehr grosse Plattformen / Suchmaschinen).
+---
+# DSA — Art. 33-43 VLOP / VLOSE Pflichten
+> VLOP = Very Large Online Platform (>= 45 Mio. EU-User monatlich).
+> VLOSE = Very Large Online Search Engine.
+> Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065
+## Schwelle (Art. 33 Abs. 1)
+>= **45 Mio. EU-Nutzer monatlich** (durchschnittlich, 6 Monate rolling).
+Aktuelle VLOPs (Stand 2026-05, EU-Kommission-Liste):
+- Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com
+- Facebook, Google Play, Google Maps, Google Search (VLOSE)
+- Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat
+- TikTok, Twitter/X, YouTube, Zalando, Bing (VLOSE)
+- + diverse Erweiterungen bei Designation 2024-2025
+Liste: https://transparency.dsa.ec.europa.eu/page/list-platforms
+## Art. 34 — Risk Assessment (jaehrlich)
+VLOPs muessen **mindestens jaehrlich** Risk Assessments durchfuehren:
+| Risiko | Beispiel |
+|---|---|
+| Verbreitung rechtswidriger Inhalte | Hate-Speech, CSAM, Markenrechtsverletzung |
+| Negative Auswirkung auf Grundrechte | Wuerde-Verletzung, Diskriminierung, Pressefreiheit |
+| Negative Auswirkung auf zivile Diskussion | Manipulation, Polarisierung |
+| Negative Auswirkung auf Wahlprozesse | Fake-News, Voter-Suppression |
+| Negative Auswirkung auf Kinder-Schutz | Grooming, Mental-Health-Risiken |
+| Negative Auswirkung auf Geschlechter-Ungleichheit | Algo-Bias |
+## Art. 35 — Risk-Mitigation
+Pflicht-Mitigations je Risiko:
+- Algorithmus-Adjustments
+- Werbe-System-Adjustments
+- AGB-Anpassungen
+- Schutzmassnahmen fuer User
+- Awareness-Massnahmen
+## Art. 36 — Crisis-Response
+In Krisensituationen (z.B. bewaffneter Konflikt, Naturkatastrophe, oeffentliche Gesundheitskrise):
+- KOM kann VLOPs zu spezifischen Massnahmen verpflichten
+- Anwendungsdauer max. 3 Monate (Verlaengerung moeglich)
+- Beispiel: Russland-Ukraine-Krieg (Maerz 2022) — Pflicht zur Russia-Today-Kennzeichnung
+## Art. 37 — Independent Audit (jaehrlich)
+Externe, unabhaengige Pruefer:
+- pruefen Compliance mit DSA
+- Bericht an VLOP + DSC + KOM
+- Veroeffentlichung mit anonymisierten Schlussfolgerungen
+**Pruefer-Anforderungen** (Art. 37 Abs. 3):
+- Unabhaengig (keine Geschaeftsbeziehung mit VLOP)
+- Expertise in Risk-Management + Algorithmen
+- Beruflich qualifiziert
+## Art. 38-39 — Recommender-System Transparenz
+VLOP-Empfehlungs-Algorithmen muessen erklaert werden:
+- Hauptparameter (Art. 27 + Art. 38)
+- mind. 1 Option ohne Profiling waehlbar (Art. 38)
+- Aenderungen werden dokumentiert
+## Art. 40 — Daten-Zugang fuer Forscher
+DSC kann VLOPs verpflichten Daten an Forscher (zertifizierte Vetted Researchers) bereitzustellen.
+## Art. 41 — Compliance Officer
+VLOP muss mind. 1 Compliance-Officer benennen mit:
+- Eigener unabhaengiger Verantwortung
+- Direkter Berichtsweg zur Geschaeftsleitung
+## Art. 42 — Transparency Reporting
+VLOPs zusaetzliche Transparenz-Pflichten ueber Art. 24:
+- Zahl der **Trusted Flagger Notices** (priorisiert)
+- Zahl von **Suspensions** (Account-Sperrungen)
+- Zahl von **Recommender-System-Aenderungen**
+## Art. 43 — Aufsichtsgebuehr (Annual Supervisory Fee)
+VLOPs zahlen jaehrliche Gebuehr an EU-Kommission (deckt Aufsichtskosten).
+Stand 2026: Gebuehr-Faktor in EU-VO 2024/[X] (jaehrliche Anpassung).
+## Audit-Relevanz fuer Skill
+**Realitaet**: KMU-Vibecoder werden NICHT VLOP-Operator. Aber:
+- Wenn Skill ein VLOP auditiert (z.B. AEGIS-Check fuer Twitter / X-Plattform), Pflicht-Surfaces oben anwenden
+- Wenn Skill eine KMU-Plattform auditiert, deren Wachstum in 2026-2027 zur VLOP-Schwelle koennte: **Roadmap-Hinweis** im Audit-Output ergaenzen
+## Skill-Output-Pattern
+```
+**Hinweis (zukunftsorientiert)**: Falls Plattform-Wachstum > 45 Mio. monatliche EU-User
+in den naechsten 12-18 Monaten realistisch ist, sollten VLOP-Pflichten (Art. 33-43 DSA)
+schon jetzt strukturell vorbereitet werden:
+- Annual Risk Assessment Pflicht (Art. 34)
+- Independent Audit Pflicht (Art. 37)
+- Compliance Officer Stelle (Art. 41)
+- DSA-Transparency-Database-Submission Format (Art. 17 Abs. 5)
+- Aufsichtsgebuehr (Art. 43)
+Frueh-Implementierung vermeidet Compliance-Schock bei Schwellen-Ueberschreitung.
+```
+## Sanktionen Art. 52
+VLOP-Verstoss:
+- bis **6% globaler Jahresumsatz** (im Vorjahr)
+- KOM kann nach Art. 52 i.V.m. Art. 54-58 zwangsmassnahmen anwenden
+## Source
+- [eur-lex.europa.eu — VO 2022/2065 Art. 33-43](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2065)
+- [DSA VLOP-Liste](https://transparency.dsa.ec.europa.eu/page/list-platforms)
+- [DSA Transparency Database](https://transparency.dsa.ec.europa.eu/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/Data-Act-2023-2854/articles.md ADDED Viewed

@@ -0,0 +1,102 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R2854
+last-checked: 2026-05-02
+purpose: Data Act — B2B-Datenzugang + Cloud-Wechsel-Pflichten.
+---
+# Data Act — VO 2023/2854
+> **Anwendbar ab 12.09.2025.** Volltext: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R2854
+## Kernregelungen
+### Kapitel II — Daten-Zugang fuer Nutzer (Art. 3-7)
+Hersteller von **vernetzten Produkten** (IoT, Smart-Devices) muessen:
+- Daten die durch Nutzung des Produkts entstehen, dem Nutzer kostenlos zugaenglich machen
+- Daten in maschinenlesbarem Format teilen
+- Daten an dritten Empfaenger (mit Nutzer-Zustimmung) teilen
+**Audit-Trigger**: Site bietet IoT-Produkt + Online-Daten-Portal — pruefe Data-Access-Endpoint vorhanden.
+### Kapitel III — B2B-Datenzugang (Art. 8-12)
+Bei vertraglicher Vereinbarung Daten-Bereitstellung:
+- Klauseln muessen FRAND (Fair, Reasonable, Non-Discriminatory) sein
+- Verbot „missbraeuchlicher" Klauseln (analog AGB-Recht)
+- Streit-Beilegungs-Verfahren EU-weit
+### Kapitel IV — Daten-Zugang fuer Behoerden (Art. 14-22)
+Behoerden koennen Daten von Privatunternehmen anfordern fuer:
+- Notfaelle (Naturkatastrophen, Pandemien)
+- Oeffentliche Aufgaben (statistische Erhebungen, Forschung)
+### Kapitel V — Cloud-Wechsel (Art. 23-31)
+**Pflicht-Inhalte fuer Cloud-Service-Vertraege**:
+- Wechsel-Pflicht zu anderem Provider
+- Datenexport in maschinenlesbarem Format
+- Wechselkosten transparent + zeitlich begrenzt
+- Wechsel-Dauer: typ. < 30 Tage
+**Switching-Kosten**:
+- ab **2027-01-12** Switching-Kosten = 0 (Art. 25 Abs. 5)
+- Vorher: Stufenweise Reduktion
+**Audit-Trigger**: SaaS-Vertrag pruefen ob Wechsel-Klauseln im AGB.
+### Kapitel VI — Cloud-Interoperabilitaet (Art. 32-34)
+Cloud-Provider muessen API-Standards einhalten + Cross-Cloud-Datenfluss ermoeglichen.
+### Kapitel VII — Cybersecurity-Schutz (Art. 35-36)
+EU-NLF (Non-Personal-Data-Free-Flow) Erweiterung — Personal + Non-Personal-Data zusammen mit DSGVO-konformen Schutzmechanismen.
+## Sanktionen (Art. 40)
+Mitgliedstaaten setzen Sanktionen — DE: BNetzA + BfDI fuer DSGVO-Aspekte:
+- bis 4% globaler Jahresumsatz (analog DSGVO Stufe 2)
+## Audit-Relevanz
+### Surface 1 — IoT-Hersteller / vernetzte Produkte
+Pflicht-Endpoint fuer User-Daten-Export.
+### Surface 2 — Cloud-Anbieter (SaaS)
+Vertragsklauseln nach Art. 23-31:
+- Datenexport-Endpoint
+- Wechsel-Klausel
+- Wechsel-Kosten transparent (ab 2027 = 0)
+- Dauer < 30 Tage
+- Maschinenlesbares Format
+### Surface 3 — B2B-Vertraege mit Datenflusss
+Klausel-Audit:
+- FRAND-Klauseln
+- Keine missbraeuchlichen Klauseln (Art. 13)
+- Streit-Beilegung dokumentiert
+## Audit-Pattern
+```
+**Finding**: SaaS-AGB enthaelt KEINE Wechsel-Klausel oder >30-Tage-Wechsel-Dauer
+**Wahrsch.**: 50% ab 2025-09 (BfDI/BNetzA-Pruefungen 2026+)
+**Kritikalitaet**: 🟡 HOCH
+**§**: Art. 25 Data Act
+**€-Range**: 50.000-500.000 (KMU, fahrlaessig, ohne KMU-Privileg im Data Act)
+**Fix**:
+- AGB-Klausel ergaenzen: „Bei Vertragskuendigung stellen wir Ihre Daten in maschinenlesbarem Format (JSON/CSV) bereit. Migration zu anderem Anbieter ist binnen 30 Tagen abzuschliessen. Switching-Kosten ab 12.01.2027 entfallen vollstaendig (Art. 25 Abs. 5 Data Act)."
+- Datenexport-Endpoint implementieren
+- Wechsel-Doku in Customer-Portal
+```
+## Source
+- [eur-lex.europa.eu — VO 2023/2854](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R2854)
+- [European Commission — Data Act FAQ](https://digital-strategy.ec.europa.eu/de/policies/data-act)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/EU-Verordnungen/Data-Act-2023-2854/audit-relevance.md ADDED Viewed

@@ -0,0 +1,77 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R2854
+last-checked: 2026-05-02
+purpose: Data Act — Audit-Trigger fuer SaaS / IoT / B2B-Datenfluss.
+---
+# Data Act — Audit-Relevance
+## Auto-Loading-Trigger
+```
+1. SaaS-Detection:
+   - Subscription-Modell + Customer-Daten-Speicherung
+   - „Pricing"-Page mit Plan-Tabelle
+   - Tech-Stack: Stripe-Subscription, Paddle, etc.
+2. IoT-Detection:
+   - Smart-Device-Hersteller-Site
+   - „Connected Product" / „IoT" / „Smart Home"
+   - Hardware-Komponente in Product-Range
+3. B2B-Daten-Hub-Detection:
+   - Site bewirbt: "Data-Sharing", "API-First", "Integration-Hub"
+   - Tech-Stack: Apollo, REST-API-Gateway-Tools
+```
+## Pflicht-Surfaces
+### Surface 1 — SaaS-AGB (Cloud-Wechsel-Pflicht)
+| Check | Verify |
+|---|---|
+| Wechsel-Klausel vorhanden | grep AGB nach „Wechsel" / „Migration" |
+| Datenexport-Endpoint dokumentiert | grep AGB nach „Export" / „Download" |
+| Wechsel-Dauer < 30 Tage | AGB-Lese |
+| Switching-Kosten (vor 2027) transparent | AGB-Lese |
+| Maschinenlesbares Format (JSON/CSV) | API-Doku |
+### Surface 2 — IoT-Daten-Portal
+| Check | Verify |
+|---|---|
+| User-Daten-Export-Endpoint | API-Probe |
+| Daten-Sharing mit Drittem (mit User-Zustimmung) | UI-Audit |
+| Maschinenlesbares Format | Format-Check |
+### Surface 3 — B2B-Vertraege
+| Check | Verify |
+|---|---|
+| FRAND-Klauseln | Vertrags-Lese |
+| Keine missbraeuchlichen Klauseln | AGB-Lese |
+| Streit-Beilegungs-Klausel | AGB-Lese |
+## Audit-Pattern
+```
+**Finding**: SaaS-Provider ohne Datenexport-Endpoint
+**Wahrsch.**: 60% (BfDI/BNetzA-Pruefungen + Verbraucherklagen)
+**Kritikalitaet**: 🟡 HOCH (ab 2025-09 vollstaendig anwendbar)
+**§**: Art. 23-25 Data Act + AGB-Recht §§ 305-310 BGB
+**€-Range KMU**: 25.000-500.000 EUR
+**Fix**:
+- Datenexport-Endpoint implementieren (User-Account-Page)
+- AGB-Klausel ergaenzen
+- Wechsel-Pfad dokumentieren in Customer-Portal
+```
+## Cross-Reference
+- AGB-Recht: `references/vertragsrecht.md`
+- ePrivacy-Audit: `references/audit-patterns.md`
+## Source
+- [eur-lex.europa.eu — VO 2023/2854](https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023R2854)