@aegis-scan/skills 0.5.0 → 0.5.1

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/ai/anthropic-dpa.md

@@ -0,0 +1,87 @@
+---
+license: MIT (snippet) / Vendor-Doc separat
+provider: Anthropic, PBC (USA — Delaware-PBC)
+provider-AVV-status: Standardvertrag verfuegbar (DPA + EU-SCC)
+last-checked: 2026-05-02
+purpose: Anthropic Claude API DPA + Compliance.
+---
+
+# Anthropic Claude — TOMs + DPA + DSE-Wording
+
+## 1. Default-Verhalten
+
+- Datenstandort: US (default)
+- EU-Region: Beta verfuegbar (Stand 2026-05, Konto-Setting in Anthropic-Console)
+- Trainings-Opt-Out fuer API-Daten Pflicht-Setting (Default = Opt-Out, kein Training auf API-Daten)
+- Sub-Processor: AWS, GCP
+
+## 2. Compliance-Risiken
+
+| Risiko | Wirkung | Fix |
+|---|---|---|
+| Default-Region US | Schrems II / DPF-Risiko | EU-Region waehlen wenn verfuegbar |
+| Trainings-Opt-Out nicht aktiviert | Daten in Modell-Training | Opt-Out im Account-Setting (Default OK aber pruefen) |
+| Prompt-Speicherung | Compliance-relevant | Zero-Retention-Vereinbarung anfragen |
+| AVV ohne EU-SCC | Drittland-Pflichtverletzung | DPA mit SCC abschliessen |
+
+## 3. Code-Pattern (Next.js + Anthropic SDK)
+
+```ts
+// File: src/lib/anthropic.ts
+import Anthropic from '@anthropic-ai/sdk';
+
+export const anthropic = new Anthropic({
+  apiKey: process.env.ANTHROPIC_API_KEY,
+  // Optional: EU-Region (wenn verfuegbar)
+  // baseURL: 'https://api.eu.anthropic.com',
+});
+
+export async function chat(messages: Anthropic.MessageParam[]) {
+  // PII-Pre-Filter (Datenminimierung)
+  const sanitized = messages.map(m => ({
+    ...m,
+    content: redactPII(typeof m.content === 'string' ? m.content : ''),
+  }));
+
+  const response = await anthropic.messages.create({
+    model: 'claude-opus-4-7',
+    max_tokens: 1024,
+    messages: sanitized,
+  });
+
+  return response;
+}
+
+function redactPII(text: string): string {
+  return text
+    .replace(/\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,}\b/g, '[REDACTED_EMAIL]')
+    .replace(/\b(?:\+49|0)[0-9 \-/]+\d/g, '[REDACTED_PHONE]')
+    .replace(/\bDE\d{20}\b/gi, '[REDACTED_IBAN]');
+}
+```
+
+## 4. AVV / DPA
+
+- **DPA-Link**: https://www.anthropic.com/legal/dpa
+- **Trust Center**: https://trust.anthropic.com/
+- **EU-SCC**: Modul 2 + 3
+- **Sub-Processors**: https://trust.anthropic.com/sub-processors
+
+## 5. DSE-Wording-Vorlage
+
+> Wir nutzen Claude (Anthropic, PBC, 548 Market St PMB 90375, San Francisco, USA)
+> als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Anthropic ist DPF-zertifiziert.
+> EU-SCC Modul 2+3 abgeschlossen. Trainings-Opt-Out ist aktiviert. Datenschutzhinweise:
+> https://www.anthropic.com/legal/privacy.
+
+## 6. AI-Act-Compliance
+
+- Claude ist GPAI-Modell — Anbieter-Pflichten Art. 53 ist Anthropic-Pflicht
+- Operator-seitig: Pflicht zum Art. 50-Hinweis im Chat-UI
+- Bei Hochrisiko-Use-Case: vollstaendige Annex-III-Pflichten + FRIA
+
+## 7. Cross-Reference
+
+- AI-Act GPAI: `gesetze/EU-Verordnungen/AI-Act-2024-1689/gpai-pflichten.md`
+- AI-Act Art. 50: `gesetze/EU-Verordnungen/AI-Act-2024-1689/transparenz-art-50.md`
+- Audit-Pattern Phase 5e (AI-Chatbot): `audit-patterns.md`

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/astro/cookie-banner-pattern.md

@@ -0,0 +1,202 @@
+---
+license: MIT (snippet)
+provider: Astro (Open-Source)
+last-checked: 2026-05-05
+purpose: Astro Cookie-Banner Pattern mit View-Transitions + Island-Hydration + client-seitiger Consent-Init.
+---
+
+# Astro — Cookie-Banner (Pattern)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `astro.config.mjs` / `astro.config.ts` mit `integrations: [...]`
+- `src/layouts/*.astro` Layout-Komponenten
+- `client:load` / `client:idle` / `client:visible` Direktiven in `.astro` Files
+- `<ClientRouter />` (View-Transitions) in Layout
+- Optional: `@astrojs/react` / `@astrojs/vue` / `@astrojs/svelte` integration
+
+Astro ist Static-First, das heisst Cookie-Banner muss als Island laufen (`client:load`) — sonst wird er statisch gepre-rendered und JavaScript-Logik feuert nicht.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- Astro pre-rendered `.astro` Files zu HTML — Banner-State (zeigen/nicht zeigen) ist NICHT pro Visitor differenziert
+- Ohne `client:*`-Direktive feuert kein JS, also liest Banner kein localStorage
+- Mit View-Transitions-Router muss Banner `transition:persist` haben sonst remount bei jeder Navigation
+- Tracker-Scripts (Plausible, Umami, Google Analytics) werden via `<script>` in Layout typischerweise SOFORT geladen — vor jeder Consent-Pruefung
+
+Resultat ohne Anpassung: Tracker laeuft trotz fehlendem Consent. § 25 TDDDG-Verstoss.
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Tracker laedt vor Consent (Astro `<script>` im Head) | § 25 TDDDG | KRITISCH | Tracker als Island mit `client:idle` + Consent-Gate |
+| Banner remountet pro View-Transition | DSGVO Art. 7 (Nachweisbarkeit) | MITTEL | `transition:persist` setzen |
+| Static-Build cached Banner-State | DSGVO Art. 25 | HOCH | Banner ausschliesslich via `client:load` initialisieren |
+| Drittland-Transfer durch CDN-Tracker | Art. 44-46 DSGVO | KRITISCH | EU-Region-Provider + AVV + TIA |
+| Pre-Tick im Settings-Modal | EuGH C-673/17 Planet49 | KRITISCH | Default = false fuer alle Nicht-Notwendigen |
+
+## Code-Pattern (sanitized)
+
+```astro
+---
+// File: src/layouts/BaseLayout.astro
+import CookieBanner from '../components/CookieBanner.tsx';
+import { ClientRouter } from 'astro:transitions';
+---
+<!doctype html>
+<html lang="de">
+  <head>
+    <meta charset="UTF-8" />
+    <title><slot name="title">{Astro.props.title ?? '<placeholder-site-name>'}</slot></title>
+    <ClientRouter />
+    {/* KEIN Tracker-Script hier — erst nach Consent via Island */}
+  </head>
+  <body>
+    <slot />
+    {/* transition:persist verhindert Remount bei View-Transitions */}
+    <CookieBanner client:load transition:persist="cookie-banner" />
+  </body>
+</html>
+```
+
+```tsx
+// File: src/components/CookieBanner.tsx (React-Island)
+import { useEffect, useState } from 'react';
+
+type Consent = {
+  necessary: true;
+  analytics: boolean;
+  marketing: boolean;
+  timestamp?: string;
+  version: '1.0';
+};
+
+const STORAGE_KEY = 'cookie-consent';
+
+export default function CookieBanner() {
+  const [open, setOpen] = useState(false);
+  const [consent, setConsent] = useState<Consent>({
+    necessary: true,
+    analytics: false,  // Default false — Opt-In Pflicht
+    marketing: false,
+    version: '1.0',
+  });
+
+  useEffect(() => {
+    const stored = localStorage.getItem(STORAGE_KEY);
+    if (!stored) setOpen(true);
+    else {
+      const parsed = JSON.parse(stored) as Consent;
+      if (parsed.analytics) loadAnalytics();
+      if (parsed.marketing) loadMarketing();
+    }
+  }, []);
+
+  const persist = (c: Consent) => {
+    const final = { ...c, timestamp: new Date().toISOString() };
+    localStorage.setItem(STORAGE_KEY, JSON.stringify(final));
+    fetch('/api/consent-log', {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify(final),
+    });
+    if (final.analytics) loadAnalytics();
+    if (final.marketing) loadMarketing();
+    setOpen(false);
+  };
+
+  if (!open) return null;
+
+  return (
+    <aside role="dialog" aria-label="Cookie-Einwilligung" className="cookie-banner">
+      <p>
+        Wir verwenden Cookies fuer notwendige Funktionen. Mit Ihrer Einwilligung
+        zusaetzlich fuer Analyse und Marketing. Details:{' '}
+        <a href="/datenschutz">Datenschutzerklaerung</a>.
+      </p>
+      <div className="cookie-actions">
+        {/* Buttons gleichwertig (OLG Koeln 6 U 80/23) */}
+        <button onClick={() => persist({ ...consent, analytics: false, marketing: false })}>
+          Nur Notwendige
+        </button>
+        <button onClick={() => persist({ ...consent, analytics: true, marketing: true })}>
+          Alle akzeptieren
+        </button>
+      </div>
+    </aside>
+  );
+}
+
+function loadAnalytics() {
+  const s = document.createElement('script');
+  s.src = 'https://<placeholder-eu-analytics-host>/script.js';
+  s.defer = true;
+  document.head.appendChild(s);
+}
+
+function loadMarketing() {
+  // Lade Marketing-Pixel erst nach Consent
+}
+```
+
+## AVV / DPA
+
+Pflicht-AVV-Partner bei Default-Astro-Stack:
+- Hosting-Provider (Netlify / Vercel / Self-host) — Art. 28 DSGVO
+- CDN (Cloudflare / Bunny.net) — bei Drittland: SCC + TIA
+- Analytics-Provider (Plausible EU / Umami self-hosted) — AVV bei Plausible.io B.V.
+- Optional: Image-CDN (Cloudinary / imgix) bei `<Image>` Component
+
+Pflicht-Dokumentation: `/datenschutz` Section "Auftragsverarbeiter" mit Tabelle (Anbieter, Sitz, Zweck, Rechtsgrundlage).
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Cookies und vergleichbare Technologien
+
+Diese Website nutzt Cookies und browserseitigen Speicher (`localStorage`) fuer
+folgende Zwecke:
+
+**Notwendige Cookies (Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG)**
+- `cookie-consent` — speichert Ihre Einwilligungs-Entscheidung
+  (Speicherdauer: 12 Monate, kein Tracking)
+- Session-Cookie fuer Login (falls vorhanden)
+
+**Analyse-Cookies (Rechtsgrundlage: § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1
+lit. a DSGVO — Einwilligung)**
+- `<placeholder-analytics-cookie>` — Webseiten-Statistiken
+- Anbieter: <placeholder-analytics-provider>, EU-Hosting
+- Speicherdauer: <placeholder-days> Tage
+
+**Widerruf:** Sie koennen Ihre Einwilligung jederzeit widerrufen ueber
+[Cookie-Einstellungen](#cookie-settings) im Footer.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. Pre-Consent: kein Tracker-Script geladen
+curl -sS https://<placeholder-domain>/ | grep -ic "<placeholder-analytics-host>" 
+# Erwartung: 0
+
+# 2. Banner sichtbar fuer neue Visitors
+curl -sS https://<placeholder-domain>/ | grep -ic "cookie-banner\|cookie-einwilligung"
+# Erwartung: >=1
+
+# 3. Playwright: Tracker erst nach Accept
+npx playwright codegen https://<placeholder-domain>/
+# Manuelle Pruefung: Network-Tab vor + nach Accept
+
+# 4. View-Transition-persist
+# Navigiere ueber 3 Pages mit aktivem Banner — Banner darf nicht doppelt rendern
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `cookie-audit.ts`, `tracking-scan.ts`, `consent-flow-checker.ts`
+- Skill-Reference: `references/dsgvo.md` § 25 TDDDG, Art. 7 DSGVO
+- BGH-Rechtsprechung: `references/bgh-urteile.md` BGH I ZR 7/16 (Planet49-Folgeentscheidung)
+- EuGH: `references/eu-eugh-dsgvo-schadensersatz.md` C-673/17 Planet49
+- Audit-Pattern: `references/audit-patterns.md` Phase 2 (Cookie-Audit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/astro/dse-section-pattern.md

@@ -0,0 +1,198 @@
+---
+license: MIT (snippet)
+provider: Astro (Open-Source)
+last-checked: 2026-05-05
+purpose: Astro Static-MD/MDX Datenschutzerklaerung-Rendering-Pattern mit Content-Collections.
+---
+
+# Astro — DSE-Section Pattern (MD/MDX)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `src/content/legal/*.md` oder `*.mdx` Files
+- `astro:content` Collections-API in `src/content/config.ts`
+- Routes wie `/datenschutz`, `/impressum`, `/agb` als statische Pages
+- Optional: `@astrojs/mdx` integration in `astro.config.mjs`
+
+Pattern: DSE wird als Markdown geschrieben (versionierbar, diff-bar, durch Lawyer reviewbar) und via Astro Content-Collections gerendert. Static-Build = max. Performance, kein Server-Roundtrip.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- DSE-Inhalte oft inline in `.astro` Page-File → Versions-Diff schwer
+- Keine `last-updated` Metadaten → Drift zur Realitaet nicht erkennbar
+- Keine Anker-Links zu Sub-Sektionen → Footer-Links auf "#cookies" funktionieren nicht
+- DSE wird statisch gepre-rendered ohne `lang`-Attribut → Screen-Reader Probleme
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| DSE outdated (kein Datum sichtbar) | Art. 13 DSGVO Transparenz | HOCH | Frontmatter `last-updated` rendern |
+| Auftragsverarbeiter-Liste fehlt | Art. 28 DSGVO | HOCH | DSE-Section "Auftragsverarbeiter" Pflicht |
+| Ankerlinks defekt | Art. 12 DSGVO Klarheit | MITTEL | Auto-generierte Heading-IDs |
+| Sprache nicht ausgewiesen | BITV 2.0 Barrierefreiheit | MITTEL | `<html lang="de">` Pflicht |
+| Versions-Historie fehlt | Art. 5 Abs. 2 Rechenschaft | MITTEL | Git-blame als Audit-Trail + DSE-Changelog |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/content/config.ts
+import { defineCollection, z } from 'astro:content';
+
+const legal = defineCollection({
+  type: 'content',
+  schema: z.object({
+    title: z.string(),
+    section: z.enum(['datenschutz', 'impressum', 'agb', 'widerrufsbelehrung']),
+    lastUpdated: z.coerce.date(),
+    version: z.string(),
+    author: z.string(),  // z.B. "<placeholder-legal-counsel>"
+  }),
+});
+
+export const collections = { legal };
+```
+
+```markdown
+<!-- File: src/content/legal/datenschutz.md -->
+---
+title: Datenschutzerklaerung
+section: datenschutz
+lastUpdated: 2026-05-05
+version: "2.3"
+author: "<placeholder-legal-counsel>"
+---
+
+## 1. Verantwortliche Stelle
+
+<placeholder-company-name>
+<placeholder-street>
+<placeholder-postal-code> <placeholder-city>
+E-Mail: <placeholder-email>
+
+## 2. Erhobene Daten und Zwecke
+
+| Datum | Zweck | Rechtsgrundlage | Speicherdauer |
+|---|---|---|---|
+| Server-Logs (anonymisiert) | Sicherheit, Stabilitaet | Art. 6 Abs. 1 lit. f | 14 Tage |
+| Cookie-Consent | Nachweis Einwilligung | Art. 7 DSGVO | 12 Monate |
+| Analytics (mit Consent) | Webseiten-Optimierung | Art. 6 Abs. 1 lit. a | <placeholder-days> Tage |
+
+## 3. Auftragsverarbeiter
+
+| Anbieter | Sitz | Zweck | AVV |
+|---|---|---|---|
+| <placeholder-hosting-provider> | <placeholder-eu-country> | Hosting | Ja |
+| <placeholder-analytics-provider> | <placeholder-eu-country> | Webanalyse | Ja |
+
+## 4. Ihre Rechte
+
+Sie haben das Recht auf:
+- Auskunft (Art. 15 DSGVO)
+- Berichtigung (Art. 16 DSGVO)
+- Loeschung (Art. 17 DSGVO)
+- Einschraenkung (Art. 18 DSGVO)
+- Datenuebertragbarkeit (Art. 20 DSGVO)
+- Widerspruch (Art. 21 DSGVO)
+- Beschwerde bei Aufsichtsbehoerde (Art. 77 DSGVO)
+
+Kontakt: <placeholder-email>
+```
+
+```astro
+---
+// File: src/pages/datenschutz.astro
+import { getEntry } from 'astro:content';
+import BaseLayout from '../layouts/BaseLayout.astro';
+
+const entry = await getEntry('legal', 'datenschutz');
+if (!entry) throw new Error('Datenschutz-Eintrag fehlt');
+
+const { Content, headings } = await entry.render();
+---
+<BaseLayout title={entry.data.title}>
+  <article class="legal">
+    <header>
+      <h1>{entry.data.title}</h1>
+      <p class="meta">
+        Version {entry.data.version} —
+        Stand: <time datetime={entry.data.lastUpdated.toISOString()}>
+          {entry.data.lastUpdated.toLocaleDateString('de-DE')}
+        </time>
+      </p>
+    </header>
+
+    <nav aria-label="Inhaltsverzeichnis">
+      <ol>
+        {headings.filter(h => h.depth === 2).map(h => (
+          <li><a href={`#${h.slug}`}>{h.text}</a></li>
+        ))}
+      </ol>
+    </nav>
+
+    <Content />
+
+    <footer class="legal-footer">
+      <p>
+        Bei Fragen zur Verarbeitung wenden Sie sich an:
+        <a href="mailto:<placeholder-email>"><placeholder-email></a>
+      </p>
+    </footer>
+  </article>
+</BaseLayout>
+```
+
+## AVV / DPA
+
+DSE selbst loest keine AVV aus (statischer Content). ABER:
+- Hosting-Provider liefert die DSE aus → AVV mit Hoster Pflicht
+- CDN cached die DSE → AVV mit CDN-Provider Pflicht
+- DSE-Inhalt MUSS jeden externen Service aus dem Repo (Tracker, Forms, Embed) als Auftragsverarbeiter listen
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Aenderungen dieser Datenschutzerklaerung
+
+Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, falls aenderungen
+am Webseitenbetrieb oder gesetzliche Vorgaben dies erfordern.
+
+Die jeweils aktuelle Version ist unter dieser URL abrufbar.
+
+**Aktuelle Version:** 2.3
+**Stand:** 5. Mai 2026
+**Aeltere Versionen:** Verfuegbar via Repository-History (Git-Tags
+`legal-vX.Y` unter <placeholder-repo-url>).
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. DSE erreichbar
+curl -sI https://<placeholder-domain>/datenschutz | head -1
+# Erwartung: HTTP/2 200
+
+# 2. last-updated im HTML sichtbar
+curl -sS https://<placeholder-domain>/datenschutz | grep -ic "stand:\|version"
+# Erwartung: >=1
+
+# 3. Auftragsverarbeiter-Section vorhanden
+curl -sS https://<placeholder-domain>/datenschutz | grep -ic "auftragsverarbeit"
+# Erwartung: >=1
+
+# 4. Sprach-Attribut korrekt
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'lang="[a-z]+"' | head -1
+# Erwartung: lang="de"
+
+# 5. Anker-Links funktionieren
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'id="[^"]+"' | head -10
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `dse-completeness-checker.ts`, `legal-pages-checker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 13, 14 (Informationspflichten)
+- BGH-Rechtsprechung: `references/bgh-urteile.md` (Transparenz-Anforderungen)
+- DSK-Beschluesse: `references/de-dsk-beschluesse.md` (Auftragsverarbeitung)
+- Audit-Pattern: `references/audit-patterns.md` Phase 1 (DSE-Vollstaendigkeit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/astro/tracking-server-endpoint.md

@@ -0,0 +1,193 @@
+---
+license: MIT (snippet)
+provider: Astro (Open-Source)
+last-checked: 2026-05-05
+purpose: Astro Server-Endpoint Pattern fuer Static-Site-Tracking ohne Client-Fetches an Drittlaender.
+---
+
+# Astro — Server-Endpoint Tracking (Pattern)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `astro.config.mjs` mit `output: 'hybrid'` oder `output: 'server'`
+- `src/pages/api/*.ts` Server-Endpoints
+- Adapter-Integration: `@astrojs/node` / `@astrojs/vercel` / `@astrojs/netlify`
+- Static-Site mit Tracker-Bedarf, der NICHT direkt vom Client an Drittlaender geht
+
+Zweck: Tracker-Calls laufen via eigener API-Route (Same-Origin) statt direkt an `<placeholder-tracking-domain>`. Vorteile: kein Drittland-Cookie, IP-Anonymisierung serverseitig, Proxy-Layer fuer DSGVO-Konformitaet.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- `output: 'static'` (Default) erlaubt KEINE Server-Endpoints — Tracker laeuft direkt vom Client
+- Direkte Tracker-Calls senden IP, User-Agent, Referrer ungeschuetzt an Drittland
+- Keine Moeglichkeit zur Daten-Minimierung vor Tracker-Provider
+- Cookie-Sets vom Drittland-Tracker nicht via § 25 TDDDG-konformem Banner gefiltert
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Direkter Drittland-Tracker-Call | Art. 44 DSGVO | KRITISCH | Server-Endpoint-Proxy + IP-Hashing |
+| Kein Consent-Check serverseitig | § 25 TDDDG | HOCH | Consent-Cookie pruefen vor Forward |
+| Volle IP an Provider | Art. 5 Abs. 1 lit. c | HOCH | IP-Truncate (letztes Octett /24) |
+| Default-Logs Klartext-IP | Art. 5 Abs. 1 lit. f | MITTEL | Anonymisierung im Endpoint |
+| Astro-SSR-Function in US-Region | Art. 44 DSGVO | KRITISCH | Adapter-Region auf EU pinnen |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/pages/api/track.ts
+import type { APIRoute } from 'astro';
+import crypto from 'node:crypto';
+
+export const prerender = false;  // Pflicht: Server-Route
+
+const ANALYTICS_ENDPOINT = '<placeholder-eu-analytics-endpoint>';
+const ANALYTICS_TOKEN = import.meta.env.ANALYTICS_TOKEN;
+
+export const POST: APIRoute = async ({ request, clientAddress }) => {
+  // 1. Consent-Check (Cookie vom Banner)
+  const cookie = request.headers.get('cookie') ?? '';
+  const consentMatch = /cookie-consent=([^;]+)/.exec(cookie);
+  if (!consentMatch) {
+    return new Response(JSON.stringify({ blocked: 'no-consent' }), { status: 204 });
+  }
+  try {
+    const consent = JSON.parse(decodeURIComponent(consentMatch[1]));
+    if (!consent.analytics) {
+      return new Response(JSON.stringify({ blocked: 'analytics-opt-out' }), { status: 204 });
+    }
+  } catch {
+    return new Response(null, { status: 204 });
+  }
+
+  // 2. Body-Validation (kein PII durchlassen)
+  const payload = await request.json().catch(() => ({}));
+  const safe = {
+    path: typeof payload.path === 'string' ? payload.path.slice(0, 200) : '/',
+    referrer: typeof payload.referrer === 'string' ? truncateReferrer(payload.referrer) : '',
+    timestamp: new Date().toISOString(),
+  };
+
+  // 3. IP-Anonymisierung (letztes Octett auf 0)
+  const anonIp = anonymizeIp(clientAddress);
+  const ipHash = crypto.createHash('sha256').update(anonIp).digest('hex').slice(0, 16);
+
+  // 4. Forward an EU-Analytics-Provider
+  await fetch(ANALYTICS_ENDPOINT, {
+    method: 'POST',
+    headers: {
+      'Content-Type': 'application/json',
+      Authorization: `Bearer ${ANALYTICS_TOKEN}`,
+    },
+    body: JSON.stringify({ ...safe, visitorHash: ipHash }),
+  });
+
+  return new Response(null, { status: 204 });
+};
+
+function anonymizeIp(ip: string): string {
+  if (ip.includes('.')) {
+    return ip.replace(/\.\d+$/, '.0');  // IPv4 /24
+  }
+  if (ip.includes(':')) {
+    return ip.split(':').slice(0, 4).join(':') + '::';  // IPv6 /64
+  }
+  return '0.0.0.0';
+}
+
+function truncateReferrer(ref: string): string {
+  try {
+    const url = new URL(ref);
+    return `${url.origin}${url.pathname}`;  // Kein Query-String
+  } catch {
+    return '';
+  }
+}
+```
+
+```astro
+---
+// File: src/components/PageView.astro
+---
+<script>
+  // Feuert nur nach Consent (siehe cookie-banner-pattern.md)
+  const consent = (() => {
+    try { return JSON.parse(localStorage.getItem('cookie-consent') ?? '{}'); }
+    catch { return {}; }
+  })();
+
+  if (consent.analytics) {
+    fetch('/api/track', {
+      method: 'POST',
+      headers: { 'Content-Type': 'application/json' },
+      body: JSON.stringify({
+        path: location.pathname,
+        referrer: document.referrer,
+      }),
+      keepalive: true,
+    });
+  }
+</script>
+```
+
+## AVV / DPA
+
+- Hosting-Adapter (Vercel / Netlify / Node-Self-Host) — Art. 28 DSGVO
+- Analytics-Provider (gewaehlt fuer EU-Region) — AVV + TIA bei Drittland-Backup-Region
+- Optional: Logging-Provider (Datadog / Sentry) — wenn Endpoint-Logs PII enthalten muessen Logs anonymisiert sein
+
+DSE-Pflicht-Eintrag: "Daten-Verarbeitung im Auftrag" — Tracker-Provider mit Sitz, EU-Hosting-Region, Speicherdauer, Loeschvereinbarung.
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Webanalyse via Server-Endpoint
+
+Wir verarbeiten Webanalyse-Daten ueber unseren eigenen Server-Endpoint
+(`/api/track`). Daten werden vor Weitergabe an unseren Analytics-Anbieter
+anonymisiert:
+
+- IP-Adresse: gekuerzt auf /24-Subnetz (z.B. 192.168.1.0)
+- Referrer: ohne Query-String
+- Visitor-Hash: SHA-256, nicht reversibel
+
+**Anbieter:** <placeholder-analytics-provider>, Sitz: <placeholder-eu-country>,
+EU-Hosting-Region: <placeholder-region>.
+**Rechtsgrundlage:** § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO
+(Einwilligung).
+**Speicherdauer:** <placeholder-days> Tage, danach automatische Loeschung.
+**Widerruf:** [Cookie-Einstellungen](#cookie-settings) im Footer.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. Endpoint blockt ohne Consent-Cookie
+curl -X POST https://<placeholder-domain>/api/track \
+  -H "Content-Type: application/json" -d '{"path":"/test"}' -i
+# Erwartung: 204 mit Body {"blocked":"no-consent"}
+
+# 2. Endpoint forwarded mit Consent
+curl -X POST https://<placeholder-domain>/api/track \
+  -H "Content-Type: application/json" \
+  -H 'Cookie: cookie-consent=%7B%22analytics%22%3Atrue%7D' \
+  -d '{"path":"/test"}' -i
+# Erwartung: 204
+
+# 3. Pruefe IP-Anonymisierung (Provider-Logs)
+# Sollte 192.168.1.0 statt 192.168.1.42 zeigen
+
+# 4. Region-Pruefung
+dig <placeholder-domain> | grep -i "edge\|region"
+# Erwartung: EU-Region
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `tracking-scan.ts`, `data-transfer-checker.ts`, `pii-flow-tracker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 44-46 (Drittland-Transfer), § 25 TDDDG
+- BGH-Rechtsprechung: `references/bgh-urteile.md` BGH I ZR 7/16
+- EDPB: `references/eu-edpb-guidelines.md` Recommendations 01/2020 SCC
+- Audit-Pattern: `references/audit-patterns.md` Phase 3 (Drittland-Audit)