@aegis-scan/skills 0.5.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/VERIFICATION-STATUS.md

@@ -0,0 +1,266 @@
+---
+license: MIT
+last-checked: 2026-05-05
+purpose: Zentrale Verifikations-Status-Liste fuer references/gesetze/ — Provenance-Disziplin §5 erweitert um EU/DE-Verordnungs-Detail-Coverage.
+---
+
+# Gesetze — Verification Status (v4.0.0-rc.1)
+
+> **Pflicht-Lesen vor jedem Citation-Output, der eine Sanktions-Hoehe, Frist
+> oder Artikel-Nummer aus den Detail-Files zitiert.**
+
+## Hintergrund
+
+Phase B.1+B.2 (Million-Euro-Tier-Audit 2026-05-02) hat 14 EU-Verordnungs-Detail-
+Files + 23 DE-Spezialgesetz-Files neu erstellt. Die Inhalte basieren teils auf
+Modell-Wissen, das **nicht** primary-source-verifiziert wurde.
+
+Spot-Check 2026-05-02 (12 high-stakes Claims):
+- **3 substantielle Findings** (1.5%->1% AI-Act, DORA-Frist unvollstaendig, MiCA Art.-Nummer-Drift Art. 86 vs Art. 111)
+- **1 minor Finding** (LkSG-Cap unvollstaendig dokumentiert — gefixt)
+- **8 ✅ verifiziert** (AI-Act-Timeline, Data-Act 12.01.2027, DSA Art. 16 + Art. 74 + 45M-MAU, HinSchG 50/250, PSD2 30 EUR, etc.)
+
+Empirische Error-Rate: ~25-33%. Damit gilt Pfad B (Experimental-Scope) der
+advisor-Empfehlung: alle B.1/B.2 Detail-Files als coverage-experimental markiert,
+Skill-Output zitiert nur aus Files mit `verification-status: verified` ohne
+zusaetzliche Volltext-Verifikation.
+
+## Status-Klassen
+
+- **verified** — Inhalte gegen Primaerquelle (eur-lex / gesetze-im-internet)
+  oder mind. 2 unabhaengige Sekundaerquellen (Behoerden + Anwaltskanzleien)
+  abgeglichen. Skill-Output darf zitieren.
+- **secondary-source-derived** — Inhalte basieren auf Modell-Wissen +
+  Sekundaerquellen. Primaerquellen-Verifikation pending v4.0.0-rc.2.
+  Skill-Output muss bei Citation eine Disclaimer-Zeile drucken
+  („Sekundaerquellen-Inhalt — gegen $URL verifizieren").
+- **skeleton-only** — Folder existiert, Inhalt ist Skelett-Text mit
+  defer-marker. NICHT in Skill-Output zitieren.
+
+## Detail-Status (B.1 — EU-Verordnungen)
+
+### AI-Act 2024/1689
+
+| File | Status | Verifizierte Claims | Pending |
+|---|---|---|---|
+| `sanktionen-art-99.md` | **verified** | 35M/7%, 15M/3%, 7,5M/**1%** (gefixt von 1,5%) | KMU-Privileg-Range |
+| `uebergangsfristen.md` | **verified** | 02.02.2025, 02.08.2025, 02.08.2026, 02.08.2027 | 02.08.2030 (Hochrisiko-Behoerden) |
+| `hochrisiko-annex-iii.md` | secondary-source-derived | — | 8 Annex-III-Bereiche Volltext-Pruefung |
+| `gpai-pflichten.md` | secondary-source-derived | — | Art. 51-56 Volltext + System-Risk-Schwelle 10^25 FLOPS |
+| `transparenz-art-50.md` | secondary-source-derived | — | Art. 50 vollstaendiger Pflicht-Katalog |
+| `audit-relevance.md` | secondary-source-derived | — | Audit-Pattern-Konsistenz |
+| `articles.md` | secondary-source-derived (re-klassifiziert 2026-05-05; 108 Zeilen Detail-Inhalt) | — | Volltext-Verifikation pending v4.0.0-rc.2 |
+
+### DSA 2022/2065
+
+| File | Status | Verifizierte Claims | Pending |
+|---|---|---|---|
+| `notice-and-action.md` | **verified** (Top-Layer) | Art. 16 Pflicht-Felder, Art. 74 6%, Hosting-Provider-Geltung | Art. 17 Vollstaendigkeit |
+| `vlop-vlose.md` | **verified** (Top-Layer) | 45M MAU = VLOP-Schwelle, 4-Monats-Compliance-Frist | Art. 33-43 Spezial-Pflichten |
+| `articles.md` | secondary-source-derived (re-klassifiziert 2026-05-05; 131 Zeilen Detail-Inhalt) | — | Volltext-Verifikation pending v4.0.0-rc.2 |
+| `trusted-flaggers.md` | secondary-source-derived | — | Art. 22 Volltext + DE Trusted-Flagger-Designation |
+| `small-platform-pflichten.md` | secondary-source-derived | — | Art. 19 KMU-Privileg Volltext |
+| `audit-relevance.md` | secondary-source-derived | — | Audit-Pattern-Konsistenz |
+
+### DORA 2022/2554
+
+| File | Status | Verifizierte Claims | Pending |
+|---|---|---|---|
+| `articles.md` | **verified** (Top-Layer) | Art. 19 4h+24h+72h+1M-Kaskade, Anwendbarkeit 17.01.2025 | Art. 28-31 Drittanbieter, Art. 50 Sanktionen |
+| `audit-relevance.md` | secondary-source-derived | — | Audit-Pattern-Konsistenz |
+
+### MiCA 2023/1114
+
+| File | Status | Verifizierte Claims | Pending |
+|---|---|---|---|
+| `articles.md` | **partially verified** (Sanktions-Art. 86->111-Drift gefixt mit Hinweis-Marker) | 30.12.2024 anwendbar, Token-Kategorien, CASP-Definition | Art. 111 ff. exakte Sanktions-Hoehen + ART/EMT/CASP-Modul-Differenzierung |
+| `audit-relevance.md` | secondary-source-derived | — | Audit-Pattern-Konsistenz |
+
+### Data Act 2023/2854
+
+| File | Status | Verifizierte Claims | Pending |
+|---|---|---|---|
+| `articles.md` | **verified** (Top-Layer) | Art. 25 Switching, 12.01.2027 Stichtag, 12.09.2024 Inkrafttreten | weitere Cloud-Switching-Detail-Pflichten |
+| `audit-relevance.md` | secondary-source-derived | — | Audit-Pattern-Konsistenz |
+
+### ePrivacy-RL 2002/58
+
+| File | Status | Pending |
+|---|---|---|
+| `articles.md` | secondary-source-derived | Art. 5 Abs. 3 + DE-Umsetzung TDDDG-Mapping |
+| `audit-relevance.md` | secondary-source-derived | — |
+
+### Skeleton-Only Files (kein Skill-Citation)
+
+- `DMA-2022-1925/articles.md`
+- `DGA-2022-868/articles.md`
+- `eIDAS-2024-1183/articles.md`
+- `CER-2022-2557/articles.md`
+- `ProdHaftRL-2024-2853/articles.md`
+- `CSDDD-2024-1760/articles.md`
+- `CSRD-2022-2464/articles.md`
+
+### Secondary-Source-Derived (re-klassifiziert 2026-05-05)
+
+Diese Files wurden zuvor faelschlich als "skeleton-only" gefuehrt, sind
+aber tatsaechlich mit verifiziertem Sekundaerquellen-Inhalt befuellt
+(98 bzw. 84 Zeilen mit konkreten Sanktions-Hoehen, Schwellwerten,
+Meldepflichten):
+
+- `NIS2-2022-2555/articles.md` — Art. 34 Sanktionen (10M/2% bzw. 7M/1,4%),
+  Schwellwerte 250 MA / 50 Mio. EUR, Meldepflichten 24h/72h/1M
+- `CRA-2024-2847/articles.md` — Hauptpflichten ab 11.12.2027, Reporting
+  ab 11.09.2026, Common Specifications 2025/2026
+
+Skill darf aus diesen Files zitieren mit Pflicht-Disclaimer
+"⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen Verordnungs-
+Volltext verifizieren".
+
+## Detail-Status (B.2 — DE-Spezialgesetze)
+
+| File | Status | Verifizierte Claims | Pending |
+|---|---|---|---|
+| `HinSchG/articles.md` | **verified** (Top-Layer) | 50/250-MA-Schwellen, 50.000 EUR Cap | Sanktions-Differenzierung pro Tatbestand |
+| `LkSG/articles.md` | **verified** (Top-Layer) | § 24 vollstaendig (100k/500k/800k/8M-Cap mit 400M-Schwelle) | — |
+| `StGB/relevante-paragraphen.md` | secondary-source-derived | §§ 202a-d, 263a, 269, 303a-b vorhanden | Volltext-Konsistenz mit BT-Drs |
+| `JuSchG-JMStV/articles.md` | secondary-source-derived | — | Sanktions-Hoehen-Verifikation |
+| `GlueStV/articles.md` | secondary-source-derived | — | Sanktions-Hoehen + GlueStV-2026-Aenderungen |
+| `TKG/articles.md` | secondary-source-derived | — | VoIP-Applicability-Scope |
+| `MedTech/MDR-2017-745.md` | secondary-source-derived | — | Annex-Pflichten-Vollstaendigkeit |
+| `MedTech/IVDR-2017-746.md` | secondary-source-derived | — | Risikoklassen + UDI-Pflicht-Detail |
+| `MedTech/DiGAV.md` | secondary-source-derived | — | DiGA-VO-Aenderungen 2025 |
+| `Finance/PSD2.md` | **partially verified** | SCA 30 EUR Schwelle | Art. 98 Volltext + RTS 2018/389 |
+| `Finance/ZAG.md` | secondary-source-derived | — | BaFin-Aufsichts-Praxis |
+| `Finance/KWG.md` | secondary-source-derived | — | Erlaubnis-Pflicht-Tatbestaende |
+| `NIS2UmsuCG-BSIG/articles.md` | skeleton-only | — | Bundestag-Verabschiedung pending |
+| `KritisDachG/articles.md` | skeleton-only | — | Bundestag-Verabschiedung pending |
+
+## Tier-1 audit-relevance.md (B.2 Sub-Phase)
+
+Folgende Files wurden als **Audit-Pattern-Mappings** geschrieben — KEINE
+neuen Sanktions/Frist-Behauptungen, sondern Verlinkungen mit bestehenden
+Tier-1-Files (DSGVO, BDSG, etc.). Verifikations-Risiko gering, aber nicht 0.
+
+| File | Status |
+|---|---|
+| `DSGVO/audit-relevance.md` | secondary-source-derived (Audit-Pattern-Konsistenz mit dsgvo.md) |
+| `BDSG/audit-relevance.md` | secondary-source-derived |
+| `TDDDG/audit-relevance.md` | secondary-source-derived |
+| `DDG/audit-relevance.md` | secondary-source-derived |
+| `BGB/audit-relevance.md` | secondary-source-derived |
+| `UWG/audit-relevance.md` | secondary-source-derived |
+| `HGB-AO/audit-relevance.md` | secondary-source-derived |
+| `VSBG/audit-relevance.md` | secondary-source-derived |
+| `BFSG/audit-relevance.md` | secondary-source-derived |
+
+## Skill-Output-Regel (Pflicht ab v4.0.0-rc.1)
+
+Bei jedem Skill-Output, der aus den `references/gesetze/`-Files (B.1/B.2)
+zitiert:
+
+1. **Top-Layer-`verified`-File**: zitierbar wie bisher mit Source-URL.
+2. **`secondary-source-derived`-File**: bei jeder Citation Pflicht-Disclaimer:
+
+   > „⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen
+   > [eur-lex.europa.eu] / [gesetze-im-internet.de] verifizieren."
+
+3. **`skeleton-only`-File**: NICHT zitieren. Skill-Output kann Folder-Existenz
+   melden ("eIDAS 2.0 ist scoped, Detail-Coverage pending v4.0.0-rc.2"), aber
+   keine konkreten Sanktions/Frist-Claims daraus generieren.
+
+## Verifikations-Roadmap v4.0.0-rc.2
+
+Vor v4.0.0-Final-Release: alle `secondary-source-derived` Files muessen auf
+**verified** umgestellt sein. Verifikations-Workflow:
+
+1. Pro File: Top-3 high-stakes Claims identifizieren (Sanktions-Hoehe, Frist, Artikel-Nummer)
+2. WebFetch eur-lex/gesetze-im-internet Volltext (oder mind. 2 unabhaengige Sekundaerquellen)
+3. Bei Diskrepanz: File-Update + CHANGELOG-Eintrag
+4. Bei Match: Status auf `verified` umstellen
+5. Falls Quelle nicht verfuegbar: File auf `skeleton-only` zurueckstufen
+
+Erwarteter Verifikations-Aufwand: ~30-40 Files × 5-10min = 3-6h.
+
+## Frontmatter-Disclaimer-Pattern (eingefuehrt 2026-05-05)
+
+Ab v4.0.0-rc.1 tragen alle Gesetze-Files YAML-Frontmatter-Felder, die
+das Skill-Konsumieren verifikations-status-aware machen. Damit kann der
+Skill-Output bei Citation automatisch den richtigen Disclaimer drucken,
+ohne dass der Skill jedes File manuell triagieren muss.
+
+### Drei Status-Varianten + zugehoerige Disclaimer
+
+**Variante 1 — `verified` (Top-Layer-verifiziert):**
+
+```yaml
+verification-status: verified
+skill-output-disclaimer: "Top-Layer-verifiziert (gesetze-im-internet.de) — Sanktions-Hoehen + Schwellwerte primaer-verifiziert"
+last-verified: 2026-05-05
+```
+
+Anwendung: HinSchG, LkSG, DORA articles, AI-Act sanktionen-art-99 +
+uebergangsfristen, DSA notice-and-action + vlop-vlose, Data-Act articles.
+URL im Disclaimer wird je nach Quelle variiert (`eur-lex.europa.eu` fuer
+EU-Verordnungen, `gesetze-im-internet.de` fuer DE-Gesetze).
+
+**Variante 2 — `partially-verified` (Top-Claims primaerquelle, Detail-Claims pending):**
+
+```yaml
+verification-status: partially-verified
+skill-output-disclaimer: "⚠ Teil-verifiziert — Top-Claims primaerquelle-bestaetigt; weitere Detail-Claims gegen [Quelle] verifizieren"
+last-verified: 2026-05-05
+```
+
+Anwendung: Finance/PSD2.md (SCA-Schwelle verifiziert, RTS 2018/389 pending),
+MiCA articles.md (Anwendbarkeit + Token-Kategorien verifiziert, Sanktions-
+Hoehen Art. 111 ff. pending).
+
+**Variante 3 — `secondary-source-derived` (Modell-Wissen + Sekundaerquellen):**
+
+```yaml
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen [Quelle] verifizieren"
+last-verified: 2026-05-05
+```
+
+Anwendung: alle uebrigen B.1/B.2-Detail-Files + Tier-1 audit-relevance.md
+Files (BDSG/TDDDG/DDG/BGB/UWG/HGB-AO/VSBG/BFSG).
+
+### Skill-Konsumtions-Pattern
+
+Der Skill (brutaler-anwalt SKILL.md / Citation-Output-Pipeline) soll bei
+jedem Reference-File-Zugriff:
+
+1. YAML-Frontmatter aus File-Top extrahieren (3-5 Zeilen unter `---`-Block).
+2. `verification-status` lesen.
+3. Wenn `secondary-source-derived` oder `partially-verified`:
+   `skill-output-disclaimer` als Pflicht-Zeile in den Citation-Block
+   einfuegen (vor oder nach der eigentlichen Quelle, ueber dem Source-URL).
+4. Wenn `verified`: optional `skill-output-disclaimer` als Confidence-Note
+   einfuegen (kein Pflicht-Disclaimer).
+5. Wenn Frontmatter fehlt oder `verification-status` nicht gesetzt:
+   File-Pfad als Reminder loggen + Default-Disclaimer drucken
+   ("Verifikations-Status nicht annotiert — manuell pruefen").
+
+### Health-Check-Erweiterung (TODO v4.0.0-rc.2)
+
+`scripts/health-check.sh` soll einen 7. Check ergaenzen:
+
+- Pro File unter `references/gesetze/` (ausser INDEX.md): pruefen, dass
+  YAML-Frontmatter `verification-status` enthaelt.
+- Bei `secondary-source-derived` / `partially-verified`: pruefen, dass
+  `skill-output-disclaimer` gesetzt + nicht-leer ist.
+- Issue-Counter erhoehen bei fehlenden Feldern.
+
+### Migrations-Status 2026-05-05
+
+37 Files migrated zu Frontmatter-Disclaimer-Pattern. Skipped:
+
+- `EU-Verordnungen/AI-Act-2024-1689/sanktionen-art-99.md` — bereits canonical/verified per Spot-Check
+- `KritisDachG/articles.md` — truly skeleton (39 Zeilen, kein konkreter Inhalt)
+- `NIS2UmsuCG-BSIG/articles.md` — skeleton-only (Bundestags-Verfahren laufend)
+- DGA / DMA / eIDAS / CER / ProdHaftRL / CSDDD / CSRD `articles.md` — alle pure skeleton-only
+- `EU-Verordnungen/Data-Act-2023-2854/*` — nicht im Migrations-Scope (separate Tier verified)
+- DSA `notice-and-action.md` / `vlop-vlose.md` / `trusted-flaggers.md` / `small-platform-pflichten.md` — nicht im Migrations-Scope (Tier-1 verified bzw. weitere Sub-Files)
+
+Details: lokale Working-Notes (gitignored Operator-Workspace).

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/VSBG/audit-relevance.md

@@ -0,0 +1,37 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+purpose: VSBG Audit-Relevance — Verbraucherstreitbeilegung-Hinweis.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen gesetze-im-internet.de verifizieren"
+last-verified: 2026-05-05
+---
+
+# VSBG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei B2C-Online-Anbietern (alle Branchen).
+
+## Pflicht-Surfaces
+
+| Surface | VSBG-§ |
+|---|---|
+| § 36-Hinweis (Teilnahme-Bereitschaft) | § 36 |
+| Streitfall-Verfahren | § 17 |
+
+## Pflicht-Wording
+
+> "Wir sind weder bereit noch verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen."
+
+ODER (wenn teilnahmebereit):
+
+> "Wir sind bereit, an Streitbeilegungsverfahren vor [konkrete Schlichtungsstelle] teilzunehmen."
+
+## Az.-Anker
+
+- BGH I ZR 169/17 (15.03.2018) — § 36 VSBG-Hinweis ist geschaeftliche Handlung iSd. UWG.
+
+## Cross-Reference
+
+- AGB B2C-Pflichten: `checklisten.md` Checkliste 3b
+- VSBG paragraphs.md: `gesetze/VSBG/paragraphs.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/ePrivacy-RL-2002-58/articles.md

@@ -0,0 +1,92 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058
+last-checked: 2026-05-02
+purpose: ePrivacy-Richtlinie — Cookie-Einwilligungs-Pflicht-Grundlage (DE-Umsetzung in TDDDG).
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+
+# ePrivacy-RL 2002/58/EG (konsolidiert mit RL 2009/136/EG)
+
+> Volltext (konsolidiert): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058
+> DE-Umsetzung: TDDDG (vormals TTDSG), siehe `references/gesetze/TDDDG/paragraphs.md`
+
+## Anwendungsbereich
+
+ePrivacy-RL gilt fuer:
+- Verarbeitung personenbezogener Daten in elektronischer Kommunikation
+- Cookies + Aehnliche Technologien (Art. 5 Abs. 3)
+- Direktwerbung per E-Mail / SMS (Art. 13)
+
+## Art. 5 — Vertraulichkeit der Kommunikation
+
+### Abs. 1 — Vertraulichkeit
+Mitgliedstaaten gewaehrleisten die Vertraulichkeit der Kommunikation.
+
+### Abs. 3 — Cookies / Endgeraet-Zugriff (KERN-Norm)
+
+> „Speichern von Informationen oder der Zugriff auf bereits in der Endeinrichtung des Teilnehmers oder Nutzers gespeicherte Informationen sind nur gestattet, wenn der Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen [...] seine Einwilligung gegeben hat."
+
+**Ausnahmen** (Abs. 3 Satz 2):
+- Uebertragungs-Zweck (alleinig)
+- Vom Nutzer ausdruecklich gewuenschter Dienst (z.B. Login-Session, Warenkorb)
+
+### EuGH-Auslegung
+
+- **EuGH C-673/17 (Planet49, 01.10.2019)**: vorausgewaehlte Cookie-Boxen = unwirksame Einwilligung
+- **EuGH C-40/17 (Fashion-ID, 29.07.2019)**: Like-Button-Daten = Mit-Verantwortlichkeit
+- **EuGH C-621/22 (IAB Europe, 07.03.2024)**: TC-String selbst = personenbezogene Daten
+
+DE-Linien:
+- BGH I ZR 7/16 (Cookie-Einwilligung 2020) — siehe `bgh-urteile.md`
+- OLG Koeln 6 U 80/23 (Cookie-Banner-Gleichwertigkeit 2024) — siehe `bgh-urteile.md`
+
+## Art. 13 — Unerwuenschte Direktwerbung
+
+### Abs. 1 — Opt-In Pflicht
+
+E-Mail / SMS / Auto-Calls fuer Direktwerbung **nur mit vorheriger Einwilligung** der Empfaenger.
+
+### Abs. 2 — Bestandskunden-Privileg
+
+Bestandskunden duerfen mit eigenen aehnlichen Produkten beworben werden:
+- Bei Erwerb klar + deutlich ueber Werbung informiert
+- Jederzeit unentgeltlicher Widerruf moeglich
+- Bei jeder Werbe-Mail ein Hinweis auf Widerrufsrecht
+
+### Abs. 3 — Klarmacherung Absender
+
+Identitaet des Absenders + Widerruf-Adresse Pflicht.
+
+DE-Umsetzung: § 7 UWG (siehe `references/gesetze/UWG/paragraphs.md`).
+
+## Verhaeltnis zur DSGVO
+
+DSGVO und ePrivacy-RL sind **lex specialis ↔ lex generalis**:
+- ePrivacy regelt **das Speichern / Auslesen auf Endgeraeten** + **elektronische Kommunikation**
+- DSGVO regelt **die Verarbeitung der dabei erhobenen personenbezogenen Daten**
+- Bei Konflikt: ePrivacy als Spezialregel vorrangig (DSGVO-Erwgr. 173)
+
+## ePrivacy-Verordnung (geplant, nicht in Kraft)
+
+EU-Kommissions-Vorschlag 2017. Politische Diskussionen 2017-2025 ohne Einigung.
+Stand 2026: weiter in Verhandlung. Bis Inkrafttreten gilt ePrivacy-RL + nationale Umsetzungen.
+
+## Audit-Relevanz fuer Skill
+
+| Audit-Surface | ePrivacy-RL-Norm | DE-Umsetzung |
+|---|---|---|
+| Cookie-Banner | Art. 5 Abs. 3 | § 25 TDDDG |
+| LocalStorage-Tracking | Art. 5 Abs. 3 | § 25 TDDDG |
+| Browser-Fingerprinting | Art. 5 Abs. 3 | § 25 TDDDG |
+| E-Mail-Direktwerbung | Art. 13 | § 7 UWG |
+| SMS-Werbung | Art. 13 | § 7 UWG |
+| Push-Notifications | Art. 13 (analog) | § 7 UWG (umstritten) |
+
+## Source
+
+- [eur-lex.europa.eu — RL 2002/58/EG (konsolidiert)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058)
+- [TDDDG (DE-Umsetzung)](https://www.gesetze-im-internet.de/ttdsg/)
+- [EDPB Guidelines 03/2022 (Cookie-Banner)](https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-deceptive-design-patterns-social-media_de)

package/skills/compliance/aegis-native/brutaler-anwalt/references/gesetze/ePrivacy-RL-2002-58/audit-relevance.md

@@ -0,0 +1,62 @@
+---
+license: CC BY 4.0 (EUR-Lex)
+source: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058
+last-checked: 2026-05-02
+purpose: ePrivacy-RL — Audit-Trigger fuer Cookies / Direktwerbung / E-Mail.
+verification-status: secondary-source-derived
+skill-output-disclaimer: "⚠ Sekundaerquellen-Inhalt — vor Mandanten-Citation gegen eur-lex.europa.eu Volltext verifizieren"
+last-verified: 2026-05-05
+---
+
+# ePrivacy-RL — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+```
+1. Cookie-Banner-Detection:
+   - <script data-cookie-banner>
+   - Library: cookieconsent / cookiebot / usercentrics / borlabs / tarteaucitron
+   - HTML-Probe: "Cookie-Einwilligung" / "Akzeptieren" / "Ablehnen"
+
+2. Tracking-Detection:
+   - GA / Matomo / Plausible / Umami in CSP oder Code
+   - LocalStorage / SessionStorage Aktivitaet
+
+3. E-Mail-Marketing-Detection:
+   - Newsletter-Form
+   - Mailchimp / SendGrid / Postmark / Brevo Tags
+   - DOI-Token-Pattern in URL-Struktur
+```
+
+## Pflicht-Surfaces (mit Cross-Reference zu DE-Umsetzung)
+
+| Surface | ePrivacy-RL | DE-Norm | Skill-Layer |
+|---|---|---|---|
+| Cookie-Banner | Art. 5 Abs. 3 | § 25 TDDDG | `audit-patterns.md` Phase 5 |
+| Pre-Consent-Tracker | Art. 5 Abs. 3 | § 25 TDDDG | `audit-patterns.md` Phase 5 + 1 (CSP) |
+| Newsletter-DOI | Art. 13 Abs. 1 | § 7 UWG | `audit-patterns.md` Phase 5g |
+| Cold-Outreach B2B | Art. 13 Abs. 1+3 | § 7 Abs. 2 UWG | `audit-patterns.md` Phase 5g |
+| Bestandskunden-Werbung | Art. 13 Abs. 2 | § 7 Abs. 3 UWG | `audit-patterns.md` Phase 5g |
+| Push-Notifications | Art. 13 (analog) | § 7 UWG (umstritten) | `audit-patterns.md` Phase 5f |
+
+## Audit-Pattern (Skill-Output)
+
+```
+**Finding**: GA-Tracker laedt vor Cookie-Consent
+**Wahrsch.**: 92% (Massen-Abmahn-Welle 2022-2025, Behoerdenpfad zusaetzlich)
+**Kritikalitaet**: 🔴 KRITISCH
+**§**: Art. 5 Abs. 3 ePrivacy-RL + § 25 Abs. 1 TDDDG + Art. 6 DSGVO
+**Az.**: EuGH C-673/17 Planet49 + BGH I ZR 7/16 + OLG Koeln 6 U 80/23
+**€-Range**: 5.000-15.000 EUR (UWG) + Stufe 2 DSGVO bis 4% Umsatz
+**Fix**:
+- Consent-Gate vor Tracker-Load
+- "Reject All"-Button gleichwertig zu "Accept All"
+- Granulare Einwilligung pro Tracker-Kategorie
+- Code-Pattern: siehe `references/stack-patterns/tracking/`
+```
+
+## Source
+
+- [RL 2002/58/EG](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058)
+- [TDDDG](https://www.gesetze-im-internet.de/ttdsg/)
+- [EDPB Guidelines](https://www.edpb.europa.eu/)

package/skills/compliance/aegis-native/brutaler-anwalt/references/it-recht.md

@@ -9,17 +9,17 @@
 ### Telemedienrecht / Digitale Dienste
 | Gesetz | Volltext | Relevanz |
 |--------|---------|---------|
-| **TMG** (Telemediengesetz) — bis 28.5.2024 gültig | https://www.gesetze-im-internet.de/tmg/ | Impressumspflicht (§ 5), Haftung für Inhalte (§§ 7-10) — **Achtung: abgelöst durch DDG** |
-| **DDG** (Digitale-Dienste-Gesetz) — seit 14.3.2024 | https://www.gesetze-im-internet.de/ddg/ | Impressumspflicht § 5 (= TMG § 5), Umsetzung des DSA |
+| **TMG** (Telemediengesetz) — bis 13.5.2024 gültig | https://www.gesetze-im-internet.de/tmg/ | Impressumspflicht (§ 5), Haftung für Inhalte (§§ 7-10) — **Achtung: abgelöst durch DDG** |
+| **DDG** (Digitale-Dienste-Gesetz) — seit 14.5.2024 | https://www.gesetze-im-internet.de/ddg/ | Impressumspflicht § 5 (= TMG § 5), Umsetzung des DSA |
 | **DSA** (Digital Services Act, EU 2022/2065) | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2065 | Plattformhaftung, Transparenzpflichten, Risikoaudits für große Plattformen |
 | **DMA** (Digital Markets Act, EU 2022/1925) | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R1925 | Verpflichtungen für "Gatekeeper" (Apple, Google, Meta, Amazon...) |
-| **TTDSG** | https://www.gesetze-im-internet.de/ttdsg/ | Cookies, E-Privacy (→ auch dsgvo.md) |
+| **TDDDG** (vormals TTDSG, seit 14.05.2024) | https://www.gesetze-im-internet.de/ttdsg/ | Cookies, E-Privacy — Wortlaut § 25 unveraendert (→ auch dsgvo.md) |
 
 ### IT-Sicherheit
 | Gesetz / Norm | Volltext | Relevanz |
 |--------|---------|---------|
 | **BSIG** (BSI-Gesetz) | https://www.gesetze-im-internet.de/bsig_2009/ | Kritische Infrastrukturen, Meldepflichten, BSI-Befugnisse |
-| **NIS2-Umsetzungsgesetz (NIS2UmsuCG)** | In Kraft seit Oktober 2024 | Erweiterte Sicherheits- und Meldepflichten für viele Unternehmen |
+| **NIS2-Umsetzungsgesetz (NIS2UmsuCG)** | DE-Bundestags-Verfahren laufend (Stand 2026-05-05); EU-NIS2-RL-Frist 17.10.2024 verstrichen ohne DE-Umsetzung — `gesetze/NIS2UmsuCG-BSIG/articles.md` siehe; bis Verabschiedung gilt das BSIG (alt) subsidiaer | Erweiterte Sicherheits- und Meldepflichten fuer viele Unternehmen — bei Eintritt: Bundesrats-Zustimmungs-Bedarf pruefen |
 | **NIS2-Richtlinie (EU 2022/2555)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555 | EU-Grundlage für NIS2 |
 | **IT-Sicherheitsgesetz 2.0** | Änderungen des BSIG | KRITIS-Betreiber, Systeme zur Angriffserkennung |
 | **ISO/IEC 27001:2022** | https://www.iso.org/standard/27001 | Internationaler Standard für Informationssicherheits-Management (ISMS) — kein Gesetz, aber Maßstab für "angemessene TOMs" nach Art. 32 DSGVO und NIS2 |
@@ -28,11 +28,11 @@
 ### ePrivacy
 | Gesetz | Volltext | Relevanz |
 |--------|---------|---------|
-| **TTDSG** (Telekommunikation-Telemedien-Datenschutz-Gesetz) | https://www.gesetze-im-internet.de/ttdsg/ | § 25: Einwilligung für Cookies / Endgerätezugriff; § 24: Öffentliche Netze |
-| **ePrivacy-Richtlinie (2002/58/EG)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058 | EU-Grundlage, durch TTDSG in DE umgesetzt |
+| **TDDDG** (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG seit 14.05.2024) | https://www.gesetze-im-internet.de/ttdsg/ | § 25: Einwilligung fuer Cookies / Endgeraetezugriff; § 24: Oeffentliche Netze. § 25 inhaltlich unveraendert seit TTDSG-Aera. |
+| **ePrivacy-Richtlinie (2002/58/EG)** | https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32002L0058 | EU-Grundlage, durch TDDDG (vormals TTDSG) in DE umgesetzt |
 | **ePrivacy-Verordnung (geplant)** | Noch nicht in Kraft (Stand: 2025) | Soll ePrivacy-Richtlinie ersetzen und Cookie-Regeln EU-weit vereinheitlichen — politisch noch blockiert |
 
-**Praxis-Hinweis ePrivacy:** Bis die ePrivacy-Verordnung in Kraft tritt, gilt das TTDSG. Der Entwurf der Verordnung kann sich noch erheblich ändern — aktuelle Entwicklungen beobachten via https://www.edpb.europa.eu
+**Praxis-Hinweis ePrivacy:** Bis die ePrivacy-Verordnung in Kraft tritt, gilt das TDDDG (vormals TTDSG). Der Entwurf der Verordnung kann sich noch erheblich aendern — aktuelle Entwicklungen beobachten via https://www.edpb.europa.eu
 
 ### Urheberrecht (Software & Inhalte)
 | Gesetz | Volltext | Relevanz |
@@ -215,7 +215,7 @@ NIS2 gilt für Unternehmen in **18 Sektoren** (erweitert gegenüber NIS1):
 ### Häufige Abmahngründe
 - Impressumsmangel (§ 5 DDG / TMG)
 - Datenschutzverstoß (DSGVO + UWG § 3a)
-- Cookie-Consent-Fehler (§ 25 TTDSG + UWG)
+- Cookie-Consent-Fehler (§ 25 TDDDG + UWG)
 - Urheberrechtsverletzung (Bilder, Software, Texte)
 - Wettbewerbswidrige Werbung (UWG)
 - Fehlende Pflichtangaben (Preisangaben, Widerrufsrecht, Gewährleistung)
@@ -253,7 +253,113 @@ NIS2 gilt für Unternehmen in **18 Sektoren** (erweitert gegenüber NIS1):
 ### Bußgelder AI Act
 - Verbotene Praktiken: bis 35 Mio. € oder 7% Jahresumsatz
 - Verstöße gegen Hochrisiko-Pflichten: bis 15 Mio. € oder 3%
-- Falsche Informationen: bis 7,5 Mio. € oder 1,5%
+- Falsche Informationen: bis 7,5 Mio. € oder 1% (Art. 99 Abs. 5 AI-Act)
+
+---
+
+### AI-Act Sub-Tier Detail-Audit
+
+**Tier 1 — Verbotene Praktiken (Art. 5)** — seit 02.02.2025 in Force:
+- Subliminale Manipulation (Art. 5(1)(a))
+- Ausnutzung Vulnerabilitaeten (Alter/Behinderung/Sozialstatus) (Art. 5(1)(b))
+- Social Scoring durch Behoerden (Art. 5(1)(c))
+- Predictive Policing nur auf Profiling (Art. 5(1)(d))
+- Untargeted Scraping Facial-Images (Art. 5(1)(e))
+- Emotion-Detection am Arbeitsplatz / in Schulen (Art. 5(1)(f))
+- Biometrische Kategorisierung nach sensiblen Attributen (Art. 5(1)(g))
+- Real-Time-Remote-Biometrie public-space (Art. 5(1)(h), Strafverfolgungs-Ausnahmen)
+
+**Tier 2 — Hochrisiko-KI (Annex III)** — vollst. reguliert ab 02.08.2026:
+- Biometrische Identifikation (post-event)
+- Kritische Infrastruktur-Sicherheit
+- Bildung + Berufsbildung (Pruefungsbewertung, Zulassung)
+- Beschaeftigung (Bewerber-Filter, Beurteilung, Beendigung)
+- Wesentliche Dienstleistungen (Kreditwuerdigkeit, Versicherungs-Tarifierung, Notruf-Triage)
+- Strafverfolgung (Profiling, Risiko-Bewertung Personen, Beweis-Evaluation)
+- Migration/Asyl (Risiko-Profiling, Pruefungs-Unterstuetzung)
+- Justiz/Demokratische Prozesse (Rechtsprechungs-Unterstuetzung, Wahlmanipulation)
+
+Pflichten: Konformitaetsbewertung, technische Dokumentation, Logging, menschliche Aufsicht, Transparenz, Robustheit, CE-Marking.
+
+**Tier 3 — GPAI (Art. 51-55)** — Pflichten seit 02.08.2025:
+- Technische Dokumentation, Trainings-Daten-Summary, Urheberrechts-Compliance
+- Bei „systemischem Risiko" (> 10^25 FLOPs Trainings-Compute): Model-Eval, Adversarial-Testing, Cybersecurity, Incident-Reporting an EU-AI-Office
+
+**Tier 4 — Transparenz (Art. 50)** — fuer alle direkt-mit-Mensch-interagierenden KI:
+- Chatbot-Kennzeichnung (User muss wissen dass er mit KI redet)
+- AI-Content-Labeling (synthetisches Bild/Audio/Video maschinenlesbar markiert)
+- Deepfake-Disclosure
+- Emotion-Detection-Disclosure
+
+### Audit-Trigger pro Sub-Tier
+
+Pruefe pro KI-Use-Case der App:
+- [ ] Tier 1 — ist eine der 8 verbotenen Praktiken einschlaegig? → IMMEDIATE-STOP
+- [ ] Tier 2 — fallen wir unter Annex III? → CE-Marking + Konformitaetsbewertung-Pflicht
+- [ ] Tier 3 — nutzen wir ein GPAI-Modell ohne Provider-Compliance-Statement? → AVV + Provider-Disclosure-Pflicht
+- [ ] Tier 4 — ist Chatbot/Deepfake/AI-Content offensichtlich gekennzeichnet?
+
+---
+
+## EU Data Act (VO 2023/2854) — IoT-Datenportabilitaet + Cloud-Switching
+
+- **Volltext**: https://eur-lex.europa.eu/eli/reg/2023/2854/oj
+- **Geltung**: ab 12.09.2025
+- **Scope**: vernetzte Produkte (IoT, Smart-Devices, Industrie-4.0) + Cloud-Provider
+
+### Pflichten fuer Hersteller / Datenhalter
+
+- **Art. 3-6**: Daten von vernetzten Produkten muessen fuer Nutzer zugaenglich + uebertragbar sein
+- **Art. 8-12**: B2B-Datenteilung auf „FRAND"-Basis (fair, reasonable, non-discriminatory)
+- **Art. 23-31**: Cloud-Switching — Provider muessen kuendigungs- und uebertragungsfreundlich sein
+  - Max. 30 Tage Kuendigungsfrist (Art. 25)
+  - Datenexport-Standards (Art. 30) — strukturierte Formate
+  - Gleichwertige Funktionalitaet beim Migration (Art. 27)
+
+### Pflicht-Audit-Punkte fuer SaaS / Cloud-Provider
+
+- [ ] Switching-Klauseln in AGB/AVV (Art. 23-31) — keine Lock-In-Strafen, max 30d Notice
+- [ ] Datenexport-Endpoint in API + UI (strukturiertes Format, Art. 30)
+- [ ] Anwendbares Recht (B2B FRAND-Pflichten Art. 9)
+- [ ] Vertraulichkeits-Klauseln vs. Datenteilungs-Pflicht (Art. 11)
+
+### Schadens-Anker Data Act
+
+- Bussgelder national geregelt — DE ab 2025 (BfDI/BNetzA zustaendig)
+- Vertragsstrafen-Risiko gegenueber Kunden bei verweigertem Switching
+
+---
+
+## Cyber Resilience Act — CRA (VO 2024/2847)
+
+- **Volltext**: https://eur-lex.europa.eu/eli/reg/2024/2847/oj
+- **Geltung**: 11.12.2027 (Hauptpflichten), Berichts-Pflichten (Art. 14) ab 11.09.2026
+- **Scope**: alle „Produkte mit digitalen Elementen" (PDE) — Hard- + Software auf EU-Markt
+
+### Pflichten
+
+- **Art. 13**: Sicherheits-Anforderungen (Annex I) — Default-Secure, Authentifizierung, Crypto, Vulnerability-Handling
+- **Art. 14**: **Aktive Ausnutzungs-Vulnerability-Notification** an ENISA innerhalb 24h
+- **Art. 14**: Severe-Incident-Notification innerhalb 24h
+- **Annex II**: Technical-Documentation (SBOM, Risk-Assessment, Konformitaets-Erklaerung)
+- **CE-Marking** pflicht
+- **Free + Open Source Software**: Sonderregel Art. 24 — kein CE-Marking, aber dokumentations-Pflichten wenn „Stewards" + monetaere Foerderung
+
+### Audit-Trigger
+
+- [ ] SBOM (Software Bill of Materials, CycloneDX / SPDX) generiert?
+- [ ] Vulnerability-Disclosure-Policy (security.txt RFC 9116)?
+- [ ] CVE-Tracking + 24h-Notification-Prozess (Art. 14)?
+- [ ] Update-Pflicht (Default: 5 Jahre Support, Art. 13(2)(b))?
+- [ ] OSS-Steward-Klassifikation pruefen (Art. 24)?
+
+### Schadens-Anker CRA
+
+- Bussgelder bis **15 Mio. EUR** oder **2,5%** weltweiter Jahresumsatz (Art. 64)
+- Marktentnahme + Rueckruf-Pflicht
+- CE-Marking-Entzug
+
+---
 
 ---
 

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/INDEX.md

@@ -85,7 +85,7 @@ last-checked: <YYYY-MM-DD>
 | Risiko | Auswirkung | Fix |
 |--------|-----------|-----|
 | Drittland | Schrems-II | Region setzen + SCC + TIA |
-| Cookies | § 25 TTDSG | Consent-Mode oder cookieless |
+| Cookies | § 25 TDDDG | Consent-Mode oder cookieless |
 | Default-Logs | Art. 5 DSGVO | Anonymisierung, Loeschfristen |
 
 ## 3. Code-Pattern (sanitized)