npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.1 - Mend

@aegis-scan/skills 0.5.0 → 0.5.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (346) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/commands/avv-redline.md ADDED Viewed

@@ -0,0 +1,246 @@
+---
+name: anwalt:avv-redline
+description: AVV-Pruefung gegen Art. 28 DSGVO + EU-SCC (VO 2021/914) + Schrems-II-Drittland-Risiko. Input AVV-PDF / AVV-Text / AVV-URL. Output Redline-Vorschlag (markdown) + Risk-Score + Pflicht-Klauseln-Checkliste. Zweiter Killer-Move neben az-verify.
+allowed-tools: Read, Write, Edit, Bash, WebFetch, Grep
+---
+# /anwalt:avv-redline — AVV-Pruefung + Redline
+> Pruefe einen AVV (Auftragsverarbeitungs-Vertrag) gegen die Pflicht-Inhalte
+> aus Art. 28 DSGVO + EU-SCC + Schrems-II-Risk-Indikatoren. Liefert
+> Redline-Vorschlag + Risk-Score + bessere-Klausel-Vorlage.
+---
+## Input-Modes
+### Mode A — AVV-PDF im Projekt
+```
+/anwalt:avv-redline path=docs/contracts/avv-cloudprovider.pdf
+```
+### Mode B — AVV-URL (von Provider hosted)
+```
+/anwalt:avv-redline url=https://provider.de/dpa.pdf
+```
+### Mode C — AVV-Text inline
+```
+/anwalt:avv-redline text="<copy-paste vom AVV>"
+```
+---
+## Pflicht-Klauseln-Checkliste (Art. 28 DSGVO)
+Jeder AVV MUSS folgende Inhalte enthalten:
+### Art. 28(3) Pflicht-Klauseln
+- [ ] **a) Verarbeitung nur auf dokumentierte Weisung** des Verantwortlichen
+- [ ] **b) Vertraulichkeitsverpflichtung** aller mit den Daten befassten Personen
+- [ ] **c) Technische und organisatorische Massnahmen** nach Art. 32 (TOMs-Anlage)
+- [ ] **d) Sub-Verarbeitung** nur mit vorheriger schriftlicher Genehmigung (allgemein oder spezifisch)
+- [ ] **e) Unterstuetzung** des Verantwortlichen bei Betroffenenrechten (Art. 12-23)
+- [ ] **f) Unterstuetzung** bei Datenpannen (Art. 33), DSFA (Art. 35), vorherige Konsultation (Art. 36)
+- [ ] **g) Loeschung oder Rueckgabe** aller Daten nach Vertragsende (Wahl beim Verantwortlichen)
+- [ ] **h) Audit-Recht** des Verantwortlichen (eigene Pruefung oder beauftragter Pruefer)
+- [ ] **i) Information** bei Weisungsverstoss
+### EU-SCC-Pflicht (VO 2021/914) bei Drittland
+Wenn Provider in Drittland sitzt (USA, UK, Schweiz, Indien, etc.):
+- [ ] **SCC-Modul** korrekt gewaehlt (Modul 1-4 je nach Konstellation)
+- [ ] **Anhang I** korrekt befuellt (Parteien, Dauer, Verarbeitung, Datenkategorien, Betroffenen)
+- [ ] **Anhang II** TOMs spezifisch (nicht generisch)
+- [ ] **Anhang III** Liste Sub-Unter-Auftragsverarbeiter (bei Modul 2/3)
+- [ ] **TIA** (Transfer Impact Assessment) durchgefuehrt + dokumentiert
+- [ ] **Schrems-II-Klauseln**: Zugriff durch oeffentliche Stellen im Drittland addressiert
+- [ ] Bei US-Provider: **EU-US Data Privacy Framework**-Zertifizierung oder Fallback-SCC
+### Schrems-II-Risiko-Indikatoren (rot-flag)
+Pruefe AVV auf:
+- 🔴 **CLOUD-Act-Klausel** (US-Government-Zugriff): muss durch zusaetzliche Massnahmen
+   adressiert sein (Verschluesselung at-rest, Schluessel beim EU-Kunden)
+- 🔴 **FISA-702-Risiko**: bei US-Provider Pflicht zur TIA-Doku
+- 🔴 **Schiedsklausel** im US-Recht: problematisch, EU-Gerichtsstand-Klausel pflicht
+- 🔴 **Datenexport-Verweigerung**: AVV muss Loeschung/Rueckgabe nach Vertragsende garantieren
+- 🟠 **"Reasonable security measures"**: zu vage, muss spezifisch sein
+---
+## Output-Struktur
+Erzeuge `avv-redline/AVV-REDLINE-<YYYY-MM-DD>-<provider>.md`:
+```markdown
+# AVV-Redline — <Provider> — <YYYY-MM-DD>
+> **Haftungsausschluss**: Diese Pruefung ersetzt keine anwaltliche Beratung
+> i.S.d. § 2 RDG (BGH I ZR 113/20 Smartlaw). Vor Vertragsabschluss
+> rechtsfachliche Pruefung anfordern.
+## AVV-Metadaten
+| Feld | Wert |
+|---|---|
+| Provider | <Name> |
+| AVV-Version / Stand | <Datum> |
+| Provider-Sitz | <Land> |
+| Drittland? | <Ja / Nein> |
+| EU-Repraesentant (falls Drittland) | <Name + Adresse> |
+| Verarbeitung | <Beschreibung> |
+## Pflicht-Klauseln-Status
+| Pflicht (Art. 28(3)) | Status | Klausel-Nr. im AVV | Anmerkung |
+|---|---|---|---|
+| a) Weisungsverarbeitung | ✅ ok | § 3.1 | konform |
+| b) Vertraulichkeit | ⚠️ teils | § 4 | "reasonable confidentiality" zu vage |
+| c) TOMs | ❌ fehlt | — | TOMs-Anhang fehlt komplett |
+| d) Sub-Verarbeitung | ✅ ok | § 7 | spezifische Genehmigung |
+| e) Unterstuetzung Art. 12-23 | ⚠️ teils | § 9 | Nur Auskunft, nicht Loeschung |
+| f) Datenpanne | ❌ fehlt | — | keine 72h-Notification-Klausel |
+| g) Loeschung/Rueckgabe | ✅ ok | § 11 | konform |
+| h) Audit-Recht | ⚠️ teils | § 12 | nur per Voranmeldung 30d — zu eng |
+| i) Weisungsverstoss-Info | ❌ fehlt | — | keine Klausel |
+## Schrems-II-Risiko-Indikatoren
+| Risiko | Status | AVV-Klausel | Empfehlung |
+|---|---|---|---|
+| CLOUD-Act-Zugriff | 🔴 HOCH | n/a | Verschluesselung-at-rest mit Schluesselverwaltung in EU |
+| FISA-702 | 🔴 HOCH | n/a | TIA dokumentieren, zusaetzliche Massnahmen |
+| EU-Gerichtsstand | 🟠 MITTEL | § 18 | Klausel umformulieren auf EU-Gericht |
+## Risk-Score
+| Metrik | Wert |
+|---|---|
+| Pflicht-Klauseln vollstaendig | 4/9 (44%) |
+| Schrems-II-Risiken | 3 (2 HOCH, 1 MITTEL) |
+| **Gesamtrisiko** | **HIGH — AVV NICHT abzeichnen ohne Nachverhandlung** |
+## Redline-Vorschlag
+### Klausel zu c) TOMs-Anhang (FEHLT, neu einfuegen)
+**Vorschlag:**
+```
+Anhang II — Technische und organisatorische Massnahmen
+Der Auftragnehmer ergreift folgende Sicherheitsmassnahmen gemaess Art. 32 DSGVO:
+1. Zugangskontrolle
+   - Authentifizierung mit Multi-Faktor (TOTP / WebAuthn)
+   - RBAC / ABAC fuer alle Backend-Endpunkte
+   - Audit-Log aller Admin-Zugriffe, 12 Monate Aufbewahrung
+2. Zugriffskontrolle
+   - Berechtigungs-Konzept mit Need-to-Know-Prinzip
+   - Datentrennung Mandanten (RLS / Tenant-Isolation)
+   - Verschluesselung at-rest (AES-256-GCM, Schluessel KMS-managed)
+3. Transport-Verschluesselung
+   - TLS 1.3 Pflicht, alte TLS-Versionen deaktiviert
+   - HSTS mit Preload + Subdomains
+   - Certificate-Pinning fuer interne APIs
+4. Verfuegbarkeit + Wiederherstellbarkeit
+   - Backup taeglich, 30 Tage Aufbewahrung
+   - RPO < 4h, RTO < 24h
+   - DR-Tests jaehrlich, dokumentiert
+5. Trennungsgebot
+   - Test- und Produktionssysteme strikt getrennt
+   - Keine Live-Daten in Test
+   - Sandboxed Customer-Tenants
+6. Loeschungs-Konzept
+   - Automatische Loeschung gemaess Retention-Policy
+   - Loeschungs-Bestaetigung an Verantwortlichen
+   - Sub-Verarbeiter-Loeschungs-Pflicht durchgereicht
+Diese Massnahmen werden regelmaessig (mindestens jaehrlich) ueberprueft und
+ggf. an den Stand der Technik angepasst.
+```
+### Klausel zu f) Datenpanne (FEHLT)
+**Vorschlag:**
+```
+§ X — Datenpannen-Meldung (Art. 33 DSGVO)
+Der Auftragnehmer informiert den Verantwortlichen unverzueglich (in jedem Fall
+binnen 48 Stunden) ueber jede Datenpanne i.S.d. Art. 4 Nr. 12 DSGVO, die
+personenbezogene Daten des Verantwortlichen betrifft. Die Meldung enthaelt
+mindestens:
+a) Art der Datenpanne (Art. 33(3)(a))
+b) Betroffene Datenkategorien + ungefaehre Anzahl Betroffener
+c) Wahrscheinliche Folgen
+d) Ergriffene oder vorgeschlagene Massnahmen zur Eindaemmung
+Der Auftragnehmer unterstuetzt den Verantwortlichen bei der Erfuellung der
+Meldepflicht nach Art. 33 + 34 DSGVO und stellt alle erforderlichen
+Informationen zur Verfuegung.
+```
+### Klausel zu h) Audit-Recht (zu eng — umformulieren)
+**Original:**
+```
+§ 12 Audit. Der Verantwortliche kann auf eigene Kosten und nach
+vorheriger Anmeldung von mindestens 30 Tagen ein Audit durchfuehren.
+```
+**Vorschlag (Redline):**
+```
+§ 12 Audit. Der Verantwortliche oder ein von ihm beauftragter unabhaengiger
+Pruefer kann nach angemessener Voranmeldung (in der Regel 14 Tage, bei
+begruendetem Verdacht auf Verstoesse auch kurzfristiger) ein Audit
+durchfuehren. Der Auftragnehmer stellt alle erforderlichen Informationen
+unentgeltlich zur Verfuegung. Bei begruendetem Verdacht entfaellt die
+Voranmeldungsfrist; in diesem Fall steht dem Verantwortlichen das Recht
+zur sofortigen Pruefung zu.
+Anstelle des Audits kann der Auftragnehmer aktuelle SOC-2-Typ-2- oder
+ISO-27001-Berichte einer unabhaengigen Pruefstelle vorlegen, sofern der
+Verantwortliche damit einverstanden ist.
+```
+---
+## Empfohlene Aktion
+🚫 **AVV nicht abzeichnen.** Vorher nachverhandeln:
+1. TOMs-Anhang verlangen (s.o. Vorschlag)
+2. Datenpannen-Klausel einfuegen (s.o.)
+3. Audit-Klausel umformulieren (s.o.)
+4. TIA fuer Drittland-Transfer durchfuehren + als Anhang IV anfuegen
+Bei Verweigerung des Providers: alternative Provider suchen oder
+Drittland-Transfer ueber zusaetzliche Massnahmen (Verschluesselung mit
+EU-Schluessel) ueber Schrems-II-Konstellation hinaus absichern.
+```
+---
+## Halt-Conditions
+- AVV-PDF nicht lesbar: STOP, OCR-Output oder Text-Input verlangen.
+- Provider-Land nicht klar: STOP, Frage stellen.
+- Bei Drittland ohne SCC: SOFORT 🔴-Flag setzen, niemals als „akzeptabel" labeln.
+---
+## Disclaimer
+Diese Pruefung ist eine **technisch-strukturierte Klauseln-Pruefung**. Die
+Endpruefung MUSS durch IT-Recht-Fachanwalt vor Vertragsabschluss erfolgen.
+§ 2 RDG bleibt einschlaegig.

package/skills/compliance/aegis-native/brutaler-anwalt/commands/az-verify.md ADDED Viewed

@@ -0,0 +1,155 @@
+---
+name: anwalt:az-verify
+description: Cross-Check eines Aktenzeichens gegen drei Quellen — (1) lokal in references/bgh-urteile.md, (2) WebFetch auf Tier-1-Primaerquelle, (3) Halluzinations-Pattern-Check (Placeholder-Az. 1234/22 / 9999/22 / Jahr-Inkonsistenz). Output verified / unverified / suspicious / hallucination mit Begruendungs-Trail. KILLER-FEATURE — niemand sonst hat das.
+allowed-tools: Read, Grep, WebFetch, WebSearch, Bash
+---
+# /anwalt:az-verify — Aktenzeichen-Provenance-Check
+> Verifiziere ein konkretes Az. nach SKILL.md §5 Az.-Provenance-Pflicht in
+> einem Single-Step. Output: 4-stufiges Verdict + Begruendungs-Trail.
+> Pflicht-Verwendung VOR jeder Az.-Citation in Mandanten-Schriftsaetzen.
+---
+## Input-Format
+Beliebige der folgenden Formate akzeptiert:
+```
+/anwalt:az-verify BGH I ZR 113/20
+/anwalt:az-verify EuGH C-673/17
+/anwalt:az-verify BVerfG 1 BvR 1/22
+/anwalt:az-verify OLG Hamm 11 U 88/22
+/anwalt:az-verify LG Muenchen 3 O 17493/20
+```
+Mehrere Az. pro Aufruf:
+```
+/anwalt:az-verify BGH I ZR 113/20, EuGH C-673/17, BGH VIII ZR 90/22
+```
+---
+## 3-Stufen-Verification
+### Stufe 1 — Lokal-Check (~30s)
+```bash
+grep -n "<AZ>" ~/.claude/skills/brutaler-anwalt/references/bgh-urteile.md
+```
+Wenn Treffer mit Source-URL: → STATUS = **VERIFIED-LOCAL**
+Wenn Treffer ohne Source: → STATUS = **PARTIAL-LOCAL** (continue Stufe 2)
+Wenn kein Treffer: → STATUS = **NOT-IN-DB** (continue Stufe 2)
+### Stufe 2 — Primary-Source-WebFetch (~60s)
+Pruefe in dieser Reihenfolge:
+1. **BGH-Az.** (z.B. `BGH I ZR 113/20`):
+   - WebFetch: `https://juris.bundesgerichtshof.de/...` mit Az.-Suchparameter
+   - Fallback: `https://dejure.org/dienste/lex/BGB/...`
+2. **EuGH-Az.** (z.B. `C-673/17`):
+   - WebFetch: `https://curia.europa.eu/juris/liste.jsf?num=<AZ>&language=de`
+3. **BVerfG-Az.** (z.B. `1 BvR 1/22`):
+   - WebFetch: `https://www.bundesverfassungsgericht.de/...`
+4. **OLG-Az.** (z.B. `OLG Hamm 11 U 88/22`):
+   - WebFetch: `https://nrwe.justiz.nrw.de/...` (fuer OLG-NRW)
+   - Fallback: `https://openjur.de/...`
+5. **LG-Az.** (z.B. `LG Muenchen 3 O 17493/20`):
+   - WebFetch: `https://medien-internet-und-recht.de/...`
+   - Fallback: `https://openjur.de/...`
+Bei Treffer mit Az.-Volltext-Match: → STATUS = **PRIMARY-SOURCE-VERIFIED**
+Bei Treffer mit Az.-Sachverhalt-Match aber ohne explizites Az.: → SUSPICIOUS (siehe v3.3-Lesson: WebSearch-Snippet mit „aehnlichem Sachverhalt" ist NICHT ausreichend)
+Bei keinem Treffer: → STATUS = **UNVERIFIED**
+### Stufe 3 — Halluzinations-Pattern-Check (~10s)
+Pruefe das Az. gegen 4 Indikatoren:
+```python
+suspicious_patterns = [
+    r"\b1234/\d{2}\b",   # Placeholder
+    r"\b9999/\d{2}\b",   # Placeholder
+    r"\b1111/\d{2}\b",   # Placeholder
+    r"\b\d{4}/22\b",     # Round-number suspicion fuer 2022er-Filings
+]
+```
+Plus: Az.-Jahr vs. behauptetes Entscheidungs-Jahr divergiert > 3 Jahre?
+(Az.-Vergabe in Eingangs-Jahr, Urteil typ. 1-3 Jahre spaeter — > 3 Jahre Drift = Verdacht)
+Bei Match: → STATUS = **HALLUCINATION-SUSPECT** (auch wenn Stufe 1/2 grün — manuell verifizieren!)
+---
+## Output-Format
+```markdown
+# Az.-Verification — <YYYY-MM-DD HH:MM>
+## BGH I ZR 113/20
+| Stufe | Ergebnis | Detail |
+|---|---|---|
+| 1. Lokal-DB | ✅ VERIFIED-LOCAL | `references/bgh-urteile.md:42` mit Source-URL |
+| 2. Primary-Source | ✅ PRIMARY-SOURCE-VERIFIED | juris.bundesgerichtshof.de Treffer mit Volltext |
+| 3. Halluzinations-Check | ✅ CLEAN | Kein Placeholder-Pattern, Jahre konsistent |
+**FINAL-VERDICT**: ✅ VERIFIED — bedenkenlos zitierbar.
+**Source-URL**: https://juris.bundesgerichtshof.de/cgi-bin/...
+**Sachverhalt**: Smartlaw — RDG-§-2 zu automatisierten Vertragsgeneratoren
+**Entscheidungs-Datum**: 09.09.2021
+---
+## C-9999/22 (hypothetisches Beispiel)
+| Stufe | Ergebnis | Detail |
+|---|---|---|
+| 1. Lokal-DB | ❌ NOT-IN-DB | Kein Treffer in references/bgh-urteile.md |
+| 2. Primary-Source | ❌ UNVERIFIED | WebFetch curia.europa.eu/juris/liste.jsf?num=C-9999/22 — keine Resultate |
+| 3. Halluzinations-Check | 🚨 HALLUCINATION-SUSPECT | Placeholder-Pattern `9999/\d{2}` |
+**FINAL-VERDICT**: 🚨 HALLUCINATION-SUSPECT — NICHT zitieren. Skill-Output dass diese Az. enthielt
+muss korrigiert werden. PostWrite-Hook haette das blockiert.
+**Empfohlene Aktion**: Az. aus Output entfernen, stattdessen `§-Zitat ohne Az.` verwenden, oder
+`[ungeprueft, manuelle Verifikation vor Schriftsatz erforderlich]`-Tag.
+```
+---
+## Halt-Conditions
+- Wenn Az.-Format nicht erkennbar (kein BGH/EuGH/OLG/LG/BVerfG-Prefix): STOP, User-Hint.
+- Wenn WebFetch fehlschlaegt (Rate-Limit / Network-Error): STATUS = **WEBFETCH-FAILED**, Stufe 1 + 3 trotzdem reporten.
+- Wenn > 10 Az. in einem Aufruf: STOP, bitten User Batch zu splitten.
+---
+## Side-Effect bei VERIFIED + nicht-in-DB
+Wenn Az. via Stufe 2 als PRIMARY-SOURCE-VERIFIED bestaetigt aber nicht in `references/bgh-urteile.md`:
+→ **Vorschlag** (NICHT Auto-Apply): „Soll ich diese Az. zur DB hinzufuegen? (yes/no)"
+→ Bei yes: Append-Entry zu `references/bgh-urteile.md` mit Source-URL + Sachverhalt-Kurzfassung.
+→ Vergroessert die Local-Az.-DB ueber Audits hinweg.
+---
+## Disclaimer
+Selbst „VERIFIED" ersetzt KEINE anwaltliche Pruefung. Az.-Volltext kann sich
+durch Berichtigungs-Beschluss aendern; Tenor kann unterschiedlich interpretiert
+werden. Diese Verification ist eine **technisch-indikative Existenz-Bestaetigung
++ Halluzinations-Defense**, kein Tenor-Sachverhalts-Endurteil.
+§ 2 RDG bleibt einschlaegig.

package/skills/compliance/aegis-native/brutaler-anwalt/commands/cold-start.md ADDED Viewed

@@ -0,0 +1,157 @@
+---
+name: anwalt:cold-start
+description: Einmaliges Practice-Profile-Interview. Erfasst Branche / Stack / B2B-B2C / EU-Land + Compliance-Status. Schreibt .brutaler-anwalt/profile.md im Projektroot. Jeder folgende Audit liest dieses Profil zuerst und ueberspringt Re-Discovery.
+allowed-tools: Read, Write, Edit, Glob, Grep, Bash
+---
+# /anwalt:cold-start — Practice-Profile-Interview
+> Einmal pro Projekt aufrufen. Schreibt `.brutaler-anwalt/profile.md` mit den
+> projektspezifischen Compliance-Konstanten. Jeder folgende Audit-Run (`/anwalt:audit`)
+> liest diese Datei zuerst und ueberspringt die ~10-Minuten-Re-Discovery-Phase.
+---
+## Workflow
+### Schritt 1 — Existing-Profile-Check
+```bash
+test -f .brutaler-anwalt/profile.md && cat .brutaler-anwalt/profile.md || echo "no profile yet"
+```
+Wenn Profile existiert + < 90 Tage alt: User fragen ob update oder skip.
+Wenn > 90 Tage: empfehlen update (Recht-Updates: AI-Act, NIS2, BFSG, etc.).
+### Schritt 2 — Auto-Detection aus Codebase
+Ohne User-Input erfassen:
+| Feld | Detection-Quelle |
+|---|---|
+| **Framework** | `package.json` deps: `next`, `react`, `vue`, `svelte`, `astro`, `nuxt`, `remix` |
+| **Backend / DB** | `package.json`: `@supabase/supabase-js`, `prisma`, `drizzle-orm`, `mongoose`, `pg`, `mysql2` |
+| **Hosting-Hint** | `vercel.json`, `netlify.toml`, `wrangler.toml`, `Dockerfile` |
+| **Tracking / Analytics** | `package.json`: `@vercel/analytics`, `posthog-js`, `mixpanel`, `umami`, `plausible`, `gtag`, `next-google-analytics` |
+| **Auth-Provider** | `package.json`: `@clerk/`, `next-auth`, `@auth0/`, `@supabase/auth-helpers`, `@workos-inc/` |
+| **Payment** | `package.json`: `stripe`, `@paddle/`, `mollie`, `@adyen/`, `paypal` |
+| **AI-Provider** | `package.json`: `@anthropic-ai/sdk`, `openai`, `@google-cloud/vertexai`, `@aws-sdk/client-bedrock` |
+| **Email** | `package.json`: `resend`, `@sendgrid/mail`, `nodemailer`, `postmark`, `mailgun-js` |
+| **Branche-Hint** | `README.md`, package-name, `app/`-Pfade (z.B. `/spa/`, `/praxis/`, `/shop/`, `/learn/`) |
+### Schritt 3 — Interview (nur fuer Felder die nicht auto-detectbar sind)
+Frage in genau dieser Reihenfolge, eine Frage pro Turn:
+1. **Branche** — welche Hauptbranche bedient die App? (z.B. SaaS-Tools, E-Commerce, Heilberuf, Spa/Wellness, Finance, EdTech, MedTech, Gluecksspiel, Public-Sector, B2B-Software, andere)
+2. **Zielgruppe** — B2C (Verbraucher) / B2B (Unternehmen) / Mixed?
+3. **EU-Reichweite** — Nur Deutschland? DACH? EU-weit? Plus Drittland (USA, UK, Schweiz)?
+4. **Datenkategorien** — verarbeitet ihr besondere Kategorien nach Art. 9 DSGVO? (Gesundheits-, biometrische, sexuelle Orientierung, religioes, rasse, gewerkschaft, politische Meinung)
+5. **Tracking / Marketing** — habt ihr Cookie-Banner / Consent-Management implementiert? (Ja / Nein / Teilweise)
+6. **Auftragsverarbeiter** — habt ihr AVVs mit allen externen Diensten? (Ja / Nein / Teilweise)
+7. **Bestehende Compliance-Pruefung** — schon mal anwaltliche Compliance-Pruefung gehabt? (Ja, vor < 12 Monaten / Ja, > 12 Monate / Nein)
+8. **Abmahn-Historie** — schon mal abgemahnt worden? (Nein / 1x / mehrfach)
+9. **Compliance-Audit-Ziel** — was ist der primaere Ausloeser fuer diesen Audit? (Pre-Launch / Investoren-DD / Abmahn-Reaktion / Regulatorische-Stichtage / Routine-Hygiene)
+Bei jeder Antwort: in den Profile-Eintrag notieren. KEIN Audit durchfuehren — das ist Job von `/anwalt:audit`.
+### Schritt 4 — Profile-File schreiben
+Erzeuge `.brutaler-anwalt/profile.md` mit dieser Struktur:
+```markdown
+---
+generated: <ISO-Datum>
+generator: brutaler-anwalt v4.3.0 (/anwalt:cold-start)
+ttl_days: 90
+---
+# brutaler-anwalt — Projekt-Profil
+> Wird von jedem `/anwalt:audit`-Run automatisch geladen.
+> Refresh bei groesseren Stack-Aenderungen oder > 90 Tagen alt.
+## Auto-Detected (aus Codebase)
+| Feld | Wert | Source |
+|---|---|---|
+| Framework | <z.B. Next.js 15.3 App-Router> | package.json |
+| Backend | <z.B. Supabase + Postgres> | package.json |
+| Hosting | <z.B. Vercel> | vercel.json |
+| Tracking | <Liste oder "keines erkannt"> | package.json |
+| Auth | <Provider oder Custom> | package.json |
+| Payment | <Provider oder "kein"> | package.json |
+| AI-Provider | <Liste oder "kein"> | package.json |
+| Email | <Provider oder "kein"> | package.json |
+## Interview-Antworten
+| Feld | Wert |
+|---|---|
+| Branche | <user-answer> |
+| Zielgruppe | <B2C / B2B / Mixed> |
+| EU-Reichweite | <DE / DACH / EU / + Drittland> |
+| Art.-9-Daten | <Ja / Nein / welche> |
+| Cookie-Banner | <Ja / Nein / Teilweise> |
+| AVVs vollstaendig | <Ja / Nein / Teilweise> |
+| Anwaltlich gepruft | <Wann / Nie> |
+| Abmahn-Historie | <Nein / 1x / mehrfach> |
+| Audit-Ziel | <Pre-Launch / DD / Abmahn-Reaktion / Stichtag / Routine> |
+## Abgeleitete Pflicht-Audit-Surfaces
+Aus den obigen Daten leitet der Skill folgende Mindest-Audit-Surfaces ab:
+- [ ] **Impressum** (immer, § 5 DDG)
+- [ ] **Datenschutzerklaerung** (immer, Art. 13/14 DSGVO)
+- [ ] **Cookie-Banner / § 25 TDDDG** (wenn Tracking detected ODER Cookie-Banner=Nein)
+- [ ] **AVV-Pruefung** (wenn AVVs!=vollstaendig)
+- [ ] **Drittland-Transfer** (wenn EU-Reichweite + Drittland ODER US-Provider detected)
+- [ ] **AGB B2C** (wenn Zielgruppe=B2C/Mixed)
+- [ ] **Newsletter-DOI** (wenn Email-Provider detected)
+- [ ] **Art-9-Workflow** (wenn Art-9-Daten=Ja)
+- [ ] **Branchen-Layer** (siehe references/branchenrecht.md fuer <Branche>)
+- [ ] **BFSG** (wenn Zielgruppe=B2C/Mixed, Stichtag 28.06.2025)
+- [ ] **AEGIS-Integration** (wenn `aegis.config.json` oder `src/scanner/` existiert)
+## Branchen-Recht (verlinkt)
+<Hier auto-link zu relevanten References/branchenrecht-Sections basierend auf Branche-Antwort>
+## Abgeleitete Risiko-Indikatoren
+- Tracking ohne Consent → § 25 TDDDG-Risiko (HOCH wenn Cookie-Banner=Nein UND Tracking=Ja)
+- Drittland ohne SCC → Schrems-II-Risiko (HOCH wenn US-Provider UND Drittland-Klausel fehlt)
+- B2C ohne Widerrufsbelehrung → BGB §§ 312g-355 + UWG-Abmahn-Risiko
+- Art-9 ohne Spezial-Workflow → Bussgeld-Risiko (Art. 83 Abs. 5 DSGVO: bis 20 Mio EUR / 4%)
+---
+**Profil generiert. Naechster Schritt:** `/anwalt:audit` — startet den 5-Persona-Vollaudit basierend auf diesem Profil.
+```
+### Schritt 5 — Confirm + Naechste-Schritte
+Nach erfolgreichem Profile-Write:
+1. Zeige Profil-Pfad + Zusammenfassung
+2. Liste die 3-5 prio-hoechsten abgeleiteten Audit-Surfaces
+3. Empfehle naechsten Command basierend auf Audit-Ziel:
+   - Pre-Launch / Routine → `/anwalt:audit`
+   - Abmahn-Reaktion → `/anwalt:simulate <abmahn-thema>`
+   - Anwaltliche-Pruefung-Vorbereitung → `/anwalt:audit` + Output an Anwalt geben
+---
+## Halt-Conditions
+- **Refuse if `.brutaler-anwalt/profile.md` already exists + < 7 Tage alt + keine Stack-Aenderungen**: empfehle Skip statt Overwrite.
+- **Refuse if Projektroot nicht erkennbar** (kein package.json, kein git-repo, kein Composer/Gemfile/etc.): User fragen ob das wirklich ein Projektroot ist.
+- **Refuse if User abbricht im Interview** (>= 3 ausgelassene Antworten): Profile NICHT schreiben, User-Hinweis dass Audit ohne Profile minder-praezise wird.
+---
+## Disclaimer-Footer
+Wie immer: Diese Auswertung ist keine Rechtsberatung i.S.d. § 2 RDG (BGH I ZR 113/20 Smartlaw).
+Profile-Inhalt ist technisch-indikativ — fuer verbindliche Aussagen Mandatieren eines IT-Fachanwalts.