npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.2 - Mend

@aegis-scan/skills 0.5.0 → 0.5.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (345) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/checklisten.md CHANGED Viewed

@@ -85,7 +85,7 @@ Für jede Verarbeitung (Website-Besuch, Kontaktformular, Newsletter, Shop-Bestel
 ---
-## Checkliste 3: Cookie-Consent (§ 25 TTDSG + Art. 6 DSGVO)
+## Checkliste 3: Cookie-Consent (§ 25 TDDDG + Art. 6 DSGVO)
 ### Consent-Banner / CMP (Consent Management Platform)
 - [ ] Banner erscheint vor Setzen nicht-notwendiger Cookies
@@ -139,12 +139,42 @@ Bei B2C-Online-Anbietern (Webshop, SaaS-Subscription, App-Store-Abo) sind folgen
 | Influencer-Posts | "Werbung" / "Anzeige" | erste Zeile / Stories: Sticker | manuelles Audit |
 | Newsletter mit Affiliate | "Werbehinweis" im Header | erste Zeile | E-Mail-Inhalt-Audit |
-**Az.-Anker:** LG Muenchen I 4 HK O 14302/15 "Brand Ambassador" (29.04.2019, Influencer-Werbung als "Werbung"/"Anzeige") [secondary-source-verified]; BGH I ZR 125/14 "Goldbärenbarren" (06.02.2014, Werbeartikel-Kennzeichnung).
+**Az.-Anker:** LG Muenchen I 4 HK O 14302/15 "Brand Ambassador" (29.04.2019, Influencer-Werbung als "Werbung"/"Anzeige") [secondary-source-verified]; etablierte Rechtsprechung zu § 5a Abs. 1 UWG (Irrefuehrung durch Unterlassen) bei nicht-gekennzeichneter Werbung. (Provenance-Note 2026-05-05: vorheriger Eintrag `BGH I ZR 125/14 'Goldbärenbarren' 06.02.2014, Werbeartikel-Kennzeichnung` war Halluzination — echtes Goldbärenbarren-Urteil ist `I ZR 192/12 vom 12.12.2013` und betrifft TV-Werbung-Kinder, NICHT Werbeartikel-Kennzeichnung.)
 **Component-Pattern:** wiederverwendbare `AffiliateDisclaimer`-Component im Layout der Empfehlungs-Routes einbauen. Component-Vorlage: `references/templates/AffiliateDisclaimer.tsx.example`. Einbau-Pattern: in `(dashboard)/empfehlungen/layout.tsx` o.ae. Layout-Datei der Affiliate-Routes.
 ---
+## Checkliste 3d: B2B-only-AGB + öffentlicher Funnel (post-V3.3-Audit 2026-05-05)
+Wenn die AGB sich „ausschließlich an Unternehmer im Sinne von § 14 BGB" richten, müssen alle öffentlichen Akquise-Funnels diese Beschränkung **aktiv umsetzen** — sonst greifen Verbraucherschutz-Pflichten (§ 312g BGB Widerrufsrecht, § 312j Abs. 3 BGB Button-Lösung) trotz AGB-Klausel.
+| Surface | Pflicht | Verify-Command |
+|---------|---------|----------------|
+| Konfigurator / Preisrechner | Hinweis-Box „nur für Unternehmen" sichtbar UND Pflicht-Checkbox „Ich bin Unternehmer (§ 14 BGB)" am Form-Ende | `curl <konfigurator-url> \| grep -ic "§ 14 BGB\|nur fuer Unternehmen\|ausschliesslich.{0,40}Unternehmer"` + Code-Side `grep -E "b2bConfirmed\|isUnternehmer" src/components/configurator/` |
+| Online-Terminbuchung (Cal.com/Calendly) | Hinweis im Buchungs-Slot ODER auf der Vor-Seite | manuelles Audit |
+| Onboarding-Wizard / Lead-Form | Hinweis-Box + Pflicht-Checkbox | wie Konfigurator |
+| /preise / /leistungen | Hinweis-Box (nicht Pflicht-Checkbox, weil keine Submission) | `curl /preise \| grep -ic "§ 14 BGB"` |
+| /datenschutz Section „Kontaktformular" | Hinweis: „Anfragen von Privatpersonen werden nicht bearbeitet" | `curl /datenschutz \| grep -i "Privatperson"` |
+**Pflicht-Klauseln in AGB (wenn B2B-Variante A gewählt)**:
+- [ ] § 1 Abs. 2 (Geltungsbereich) — explizit „ausschließlich Unternehmer im Sinne von § 14 BGB"
+- [ ] § (Vertragsschluss) — Hinweis dass Verbraucher-Anfragen abgelehnt werden
+- [ ] AGB-Stand-Datum + Versionsnummer (Drift-Style 3 schützen)
+**Component-Pattern**: wiederverwendbare `B2BNotice`-Komponente (default + compact Varianten, `role="note"`, ARIA-konform). Vorlage siehe Audit 2026-05-05 — `src/components/B2BNotice.tsx`.
+**Schema.org-Bonus** (signalisiert Google + Aufsichtsbehörde die B2B-Ausrichtung):
+```typescript
+audience: { '@type': 'BusinessAudience', audienceType: 'Kleine und mittlere Unternehmen' }
+```
+**Rechtliche Verankerung**: § 13, § 14, § 312g, § 312j Abs. 3 BGB; § 5a Abs. 4 UWG. Etablierte Rechtsprechung zur objektiven Bestimmung der Verbrauchereigenschaft (vor anwaltlicher Verwendung Primärquelle prüfen).
+**Risiko ohne Fix**: 18 % Abmahnung 12 Wochen, 887–5.500 EUR (Streitwert 5.000 EUR, RVG 1,3-Geschäftsgebühr).
+---
 ## Checkliste 4: Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO)
 ### Muss ein AVV abgeschlossen werden?
@@ -307,3 +337,46 @@ Kein AVV nötig (Joint-Controller stattdessen):
 | Hessen | HBDI: datenschutz.hessen.de |
 | Sachsen | SDTB: datenschutz.sachsen.de |
 | Alle anderen | → dsgvo.md für vollständige Liste |
+---
+## Checkliste 12: Direkt-File-Upload Compliance (V4-Pattern, post-File-Upload-Sprint 2026-05-03)
+> Lade `audit-patterns.md` Phase 5d.1 fuer Methodik-Details. Diese Checkliste ist die Action-Liste vor Deploy.
+### Server-Side (KRITISCH)
+- [ ] MIME-Whitelist im Code (PNG/JPG/WEBP/SVG/PDF — nicht Browser-MIME blind trust)
+- [ ] Magic-Bytes-Check zusätzlich zu MIME (curl-able binary signature check)
+- [ ] Size-Cap pro Datei + Total-Cap pro Submission (max 10 MB / 15 MB total — Standard SMTP-Limits)
+- [ ] Path-Traversal-Schutz: 3-Layer (basename + char-whitelist + UUID-Praefix)
+- [ ] Content-Disposition: attachment im Operator-Mail-Header (nicht inline)
+- [ ] processFilesPayload-Position NACH `generateProjectId()` (sonst undefined-Folder)
+- [ ] `fs.statfs`-Check vor `fs.writeFile` (refuse bei <500 MB free)
+- [ ] Filename-PII-Hash in Server-Logs (nie raw Filename loggen)
+- [ ] SVG-Sanitize ODER SVG aus Whitelist entfernen ODER Operator-Warnung „nur in File-Manager-Vorschau ansehen"
+### Client-Side (HOCH)
+- [ ] FileReader.readAsDataURL fuer base64-Encoding (NICHT btoa-spread — crasht >256kB)
+- [ ] MIME-Whitelist auch client-side (Defense-in-Depth)
+- [ ] Drag-and-Drop preventDefault auf onDragOver/onDrop (sonst oeffnet Browser die Datei)
+- [ ] Total-Size-Limit clientseitig pruefen + skip-Hinweis im UI bei Over-Limit
+- [ ] localStorage Schema-Migration: v-bump bei type-incompatible Changes + Legacy-Cleanup auf Mount
+### DSE / Konfigurator-Page (HOCH)
+- [ ] Art. 13 Info auf Konfigurator-Page: erlaubte Datei-Typen + Speicher-Pfad + Empfaenger + Wahl-Freiheit
+- [ ] DSE §3.X (Speicher-Sektion): lokale Disk vs Object Storage differenziert
+- [ ] DSE §X (Cleanup): Cron-Pfad + Retention-Frist explizit
+- [ ] AGB §X-Liefer-Stack: Storage-Pfad konsistent mit DSE (Cross-Drift vermeiden — Drift-Style 4)
+### Email-Versand (MITTEL)
+- [ ] Operator-Mail enthaelt Customer-Anhaenge als attachments
+- [ ] Operator-HTML zeigt Upload-Status („X Dateien im Anhang, Y abgelehnt")
+- [ ] Customer-Receipt-Mail erwaehnt Upload-Summary (Art. 16-Berichtigungs-Pfad)
+- [ ] STARTTLS verwendet (Port 587 + secure=false), MTA-STS-Empfaenger-Check
+### VVT + Compliance (MITTEL)
+- [ ] VVT-Eintrag „Konfigurator-Direct-Upload" erstellt/aktualisiert (siehe Template `references/templates/VVT-template-file-upload.md`)
+- [ ] Cleanup-Cron raeumt uploads/-Subfolder mit (recursive rm pruefen)
+- [ ] Audit-Trail fuer upload-relevante Code-Changes im PR-Review-Log
+**Quick-Verify nach Deploy:** siehe `audit-patterns.md` Phase 5d.1 Verify-Commands #1-#7.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-aufsichtsbehoerden-taetigkeitsberichte-2024.md ADDED Viewed

@@ -0,0 +1,310 @@
+# DE-Aufsichtsbehörden — Tätigkeitsberichte 2024 (Skill-Reference v1.0)
+> Stand: 2026-05-05 · 5 Haupt-Aufsichtsbehörden DE: BfDI / BayLDA / LfDI BW / HmbBfDI / LDI NRW.
+> Generiert für brutaler-anwalt v5.0.0 Max-Out (Phase 2.x — Aktuelle-Markt-Realität).
+> Provenance: Tätigkeitsberichts-Landingpage + Pressemitteilung + Sekundärquelle (Datenschutz-Branchen-Blog) je Behörde.
+---
+## Methodik-Note
+> **Tätigkeitsberichte werden im Folgejahr veröffentlicht** (Bericht über das Berichtsjahr 2024 i.d.R. Q1–Q2 2025). Bei Skill-Stand 2026-05-05 sind sämtliche 5 hier referenzierten 2024-Berichte verfügbar und ausgewertet. **Aktualisierung jährlich pflicht** — die nächste Welle (2025-er Berichte, vorgelegt 2026) ist für einige Behörden bereits erschienen (z. B. LDI NRW 31. Bericht am 17.04.2026, BayLDA Mai 2026), wird aber in dieser Iteration NICHT konsolidiert (Scope = 2024-Berichtszeitraum).
+> **Provenance-Regel**: Bußgeld- und Beschwerde-Zahlen wurden, wo immer möglich, aus der offiziellen Pressemitteilung oder dem Bericht-Volltext entnommen. Bei reinen Sekundärquellen-Aussagen (Branchen-Blogs) ist die Quelle markiert. **Wenn eine Zahl aus Web-Snippets nicht eindeutig extrahierbar war, steht stattdessen `[Zahl im Volltext-PDF — manueller Check pflicht]`.** Keine Halluzinationen.
+---
+## 1. BfDI — 33. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2024
+**Veröffentlicht**: 10. April 2025 (Übergabe an Bundestagspräsidentin Julia Klöckner)
+**Berichterstatterin**: Prof. Dr. Louisa Specht-Riemenschneider (im Amt seit 03.09.2024 — Bericht überlappt mit Vorgänger-Amtszeit Prof. Kelber)
+**Source — Landingpage**: <https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/33TB_24.html>
+**Source — PDF**: <https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Taetigkeitsberichte/33TB_24.pdf?__blob=publicationFile&v=3>
+**Source — Pressemitteilung**: <https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2025/03_33-Tätigkeitsbericht.html>
+### Bußgeld-Statistik 2024
+- Anzahl verhängte Bußgelder: **0** (BfDI hat 2024 keine Bußgelder verhängt)
+- Gesamtsumme: entfällt
+- Höchstes Einzelbußgeld: entfällt
+- Schwerpunkte: BfDI ist federführend für Bundesbehörden / Telekom / Postwesen — Bußgeld-Praxis ist strukturell selten; Aufsichtsmittel sind Beanstandungen, Empfehlungen, formale Hinweise. **Wichtig fürs Skill: keine Bußgelder ≠ keine Risiko-Indikation; BfDI-Beanstandungen (Art. 58 Abs. 2 DSGVO) sind Vorstufen zu späteren Bußgeld-Verfahren der Landes-Behörden.**
+### Beschwerde-Statistik 2024
+- Eingegangene Beschwerden gesamt: **8.670** (2023: 7.782 — Anstieg ~11 %)
+- Davon Art.-77-DSGVO-Beschwerden: **3.313**
+### Schwerpunkt-Themen 2024 (Specht-Riemenschneiders Paradigmenwechsel)
+1. **„Ermöglichender Datenschutz"** — Paradigmenwechsel weg von reiner Abwehr, hin zu Ermöglichungsrahmen für rechtmäßige Datenverarbeitung
+2. **Digitale Gesundheit** — elektronische Patientenakte (ePA), Forschungsdatenzentren (FDZ), Opt-Out-Modell
+3. **EU-KI-VO Implementierung** — Empfehlung für nationale KI-Aufsichtsstruktur, Forderung nach Rechtsgrundlage für KI-Training
+4. **Aufsicht über Nachrichtendienste** (BND, BfV, MAD)
+5. **Informationsfreiheit (IFG)** — separates Mandat des BfDI
+### Top-Fälle / Aufsichtsthemen mit Lehrwert
+1. **ePA-Widerspruchslösung** — kritische Begleitung des bundesweiten Roll-outs (Opt-Out-Konstruktion datenschutzrechtlich umstritten)
+2. **KI-Systeme mit unrechtmäßig trainierten Daten** — Forderung nach Klärung, ob solche Modelle weiter genutzt werden dürfen
+3. **Forschungsdatenzentrum Gesundheit (FDZ)** — strukturelle Datenschutzbedenken bei zentraler Forschungsdaten-Nutzung
+4. **USA-Datentransfer / TADPF** — Verfassungsbeschwerde-Risiken bei Schrems-Folge-Architekturen
+5. **Empfehlung für nationale KI-Aufsichts-Architektur** — BfDI als Lead-Authority für KI-Aufsicht im Bundesbereich
+### Audit-Anwendung im Skill
+> BfDI verhängte 2024 **null Bußgelder**, dafür stiegen Beschwerden auf 8.670 (+11 %). Skill-Implikation: für Mandanten, die unter BfDI-Zuständigkeit fallen (Telekom-Anbieter, Bundesbehörden, Post), ist das primäre Aufsichts-Risiko **NICHT** unmittelbares Bußgeld, sondern **förmliche Beanstandung + Folge-Empfehlungen + Veröffentlichungs-Risiko im Tätigkeitsbericht**. Audit-Output muss Beanstandungs-Risiko separat ausweisen, nicht nur Bußgeld-Erwartungswert.
+> Skill-Hook: bei KI-Trainings-Daten-Themen (Kunden mit eigenem LLM-Training oder LLM-API-Nutzung), zwingend BfDI-33-Forderung zur „Rechtsgrundlage für KI-Training" zitieren — das ist die offizielle Position der Bundes-Aufsicht 2024.
+---
+## 2. BayLDA — 14. Tätigkeitsbericht 2024
+**Veröffentlicht**: 20. März 2025 (Vorlage im Bayerischen Landtag, Verfassungsausschuss)
+**Berichterstatter**: Michael Will (Präsident BayLDA)
+**Zuständigkeit**: nicht-öffentlicher Bereich Bayern (Unternehmen, Vereine — NICHT Behörden, dafür LfD Bayern)
+**Source — Landingpage**: <https://www.lda.bayern.de/de/taetigkeitsberichte.html>
+**Source — PDF Volltext**: <https://www.lda.bayern.de/media/baylda_report_14.pdf>
+**Source — Sekundäranalyse**: <https://www.iitr.de/blog/taetigkeitsbericht-baylda-2024-datenschutz-vor-der-wende/22033/>
+### Bußgeld-Statistik 2024
+- Anzahl verhängte Bußgelder: **[Zahl im Volltext-PDF — manueller Check pflicht]** (BayLDA-2023-Vergleichswert: höchste Zahl seit DSGVO-Geltungsbeginn)
+- Gesamtsumme: **[Zahl im Volltext-PDF — manueller Check pflicht]** (Vergleich 2023: ca. **3,8 Mio. EUR** — höchste Summe seit DSGVO-Geltungsbeginn, davon ~85 % auf einen einzigen Tech-Konzern; Sekundärquellen zum 14. Bericht beziffern keine konkrete 2024-Gesamtsumme im freizugänglichen Auszug → Volltext-PDF-Check pflicht)
+- Höchstes Einzelbußgeld 2024: **[Zahl im Volltext-PDF — manueller Check pflicht]**
+- Bußgeld-Range: drei- bis siebenstellige Beträge gegen private Personen bzw. Unternehmen
+- Schwerpunkte (lt. iitr-Auszug): Werbe-Targeting, Auftragsverarbeiter-Konstellationen, Videoüberwachung, KMU-Cybersicherheit
+- Bemerkenswert: BayLDA führt das **erste europaweite Hauptverfahren unter bayrischer Federführung** ("Worldcoin"-Projekt) — strategischer Schwerpunkt im KI/Biometrie-Bereich
+### Beschwerde- und Datenpannen-Statistik 2024
+- Beschwerden + Kontrollanfragen gesamt: **6.046** (2023: 5.523 — Anstieg ~9,5 %, nahe Allzeit-Hoch von 2020)
+- Datenpannen-Meldungen 2024: **[Zahl im Volltext-PDF — manueller Check pflicht]** (Vergleich 2023: 2.753; 2022: 2.991)
+- Beschwerde-Verteilung 2024: ~21 % Videoüberwachung, ~20 % Internet (Tracking, Consent-Banner, Datenschutzerklärungen), ~14 % Werbung — gemeinsam >55 % aller Fälle
+### Schwerpunkt-Themen 2024
+1. **Worldcoin-Verfahren** (BayLDA-Federführung EU-weit — Iris-Biometrie + Token-Vergabe, präzedenz-bildend für KI/Biometrie)
+2. **Auftragsverarbeiter-Kontrollen** — Unterauftrags- und Kettenverhältnisse
+3. **Betroffenenrechte** — europaweite CEF-2024-Aktion zu Auskunftsansprüchen bei 20 bayrischen Unternehmen
+4. **KI-Management & EU-KI-VO** — zunehmende Beratungs-Anfragen, BayLDA noch nicht als Marktüberwachungsbehörde benannt
+5. **Cybersicherheit KMU** — Lage „deutlich verschlechtert" durch Ransomware + Phishing
+6. **Werbe-Targeting** mit gehashten E-Mail-Adressen (Folge-Aufsicht zum 3,2-Mio.-EUR-Bescheid Oktober 2023)
+### Top-Fälle / Aufsichtsthemen mit Lehrwert
+1. **Worldcoin** — Iris-Scan-Datenverarbeitung gegen Token-Auszahlung; BayLDA leitet das EU-Hauptverfahren (federführende Behörde nach Art. 56 DSGVO)
+2. **Werbe-Targeting mit gehashten E-Mail-Adressen** (Folge-Themen 2024 zum ePrivacy-Bezug; gehashte E-Mails sind weiter personenbezogene Daten)
+3. **Offener E-Mail-Verteiler (CC statt BCC)** — wiederkehrendes Bußgeld-Thema, Sammel-Versand mit sichtbaren Empfängern
+4. **Custom-Audience-Werbung** (Facebook / Meta) — Aufsicht weiterhin kritisch zu Targeting-Mechanismen
+5. **CEF-2024-Aktion Auskunftsrecht** — koordinierte EU-weite Prüfung der Art.-15-DSGVO-Umsetzung; Bayern prüfte 20 Unternehmen
+### Audit-Anwendung im Skill
+> BayLDA bestätigt 2024 die **Trends Videoüberwachung > Internet > Werbung als Beschwerde-Top-3** (>55 % der 6.046 Eingaben). Skill-Implikation: bei Audit-Targets aus Bayern → Videoüberwachungs-Konfiguration zwingend prüfen (Art.-6-Abs.-1-lit.-f-Interessenabwägung, Hinweis-Schilder, Speicherdauer); Tracking-/Consent-Banner-Compliance ist quantitativ Top-Risiko.
+> Skill-Hook: für Audit-Reports von Mandanten mit Werbe-Targeting (Custom Audiences, Lookalikes, gehashte E-Mail-Listen) muss zwingend der **3,2-Mio.-EUR-Bescheid Oktober 2023 + Folge-Verschärfung im 14. Bericht** zitiert werden — das ist BayLDAs etablierte Bußgeld-Linie.
+> **Worldcoin als Präzedenz-Hebel**: bei jedem Audit-Target mit biometrischen Daten oder KI-Identitätsfeststellung kann BayLDA-Worldcoin-Verfahren (14. TB) als Risiko-Indikator zitiert werden.
+---
+## 3. LfDI Baden-Württemberg — 40. Tätigkeitsbericht Datenschutz 2024
+**Veröffentlicht**: 17. März 2025 (Übergabe an Landtagspräsidentin Muhterem Aras)
+**Berichterstatter**: Prof. Dr. Tobias Keber
+**Zuständigkeit**: öffentlicher und nicht-öffentlicher Bereich Baden-Württemberg
+**Source — Landingpage**: <https://www.baden-wuerttemberg.datenschutz.de/40-taetigkeitsbericht-datenschutz-2024/>
+**Source — PDF Volltext**: <https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2025/03/TB_40_Datenschutz-2024_barrierefrei.pdf>
+**Source — Sekundäranalyse**: <https://regina-stoiber.com/2025/04/07/taetigkeitsbericht-lfdi-datenschutz/>
+### Bußgeld-Statistik 2024
+- Anzahl verhängte Bußgelder: **53 Bußgeldbescheide**
+- Gesamtsumme: **ca. 626.700 EUR**
+- Anzahl eingeleiteter Bußgeldverfahren: **243** (2023: 185 — Anstieg um 58 Verfahren / ~31 %)
+- Höchstes Einzelbußgeld 2024: **[Zahl im Volltext-PDF — manueller Check pflicht]**
+### Beschwerde- und Datenpannen-Statistik 2024
+- Beschwerden gesamt: **4.034** (2023: 3.817 — Anstieg um 217)
+- Datenpannenmeldungen: **3.559** (2023: 2.913 — Anstieg um ~22 %)
+### Schwerpunkt-Themen 2024
+1. **Datenschutz und Künstliche Intelligenz** (KI-VO-Beratung, insb. für Verwaltung)
+2. **Beschäftigtendatenschutz**
+3. **Europarechtliche Themen** (KI-VO Juni 2024, Digital Services / Markets Act, Data Act)
+4. **Recht auf Löschung** (als Querschnitts-Schwerpunkt 2025 angekündigt)
+5. **Notruftechnologie** (eCall, Krankenhaus-Notfall-Datenflüsse)
+6. **Deceptive Design Patterns** (Dark Patterns in Consent-Bannern und Web-UIs)
+### Top-Fälle / Aufsichtsthemen mit Lehrwert
+1. **Bewerbungsdaten-Datenpanne** — Mitarbeiter lud mehrere Bewerbungs-Dokumente bei einem öffentlichen Online-Virenscanner hoch; Bewerbungen wurden öffentlich indexiert. → **Verwarnung** (Art. 58 Abs. 2 lit. b DSGVO).
+2. **Deceptive-Design-Pattern-Aufsicht** — strukturelle Begleitung von Consent-Banner-Design-Praxis, Anlehnung an EDSA-Guidelines
+3. **Notruftechnologie / eCall** — Datenfluss-Architektur bei automatisierten Fahrzeug-Notrufen
+4. **KI-VO-Beratung Verwaltung** — Schwerpunkt landesweite Behörden-Beratung zur EU-KI-VO-Implementierung
+5. **Beschäftigtendaten** — Querschnitts-Aufsicht, vorausschauend zum BAG-Urteil-Pipeline 2025
+### Audit-Anwendung im Skill
+> LfDI BW 2024: **53 Bußgelder × 626.700 EUR = ~11.825 EUR Mittelwert pro Bescheid** — substanziell niedriger als BayLDA-Schnitt; spiegelt LfDI-BW-Linie eines stärkeren Verwarnungs-/Hinweis-Vorgehens wider. Skill-Implikation: bei BW-Audit-Targets ist die wahrscheinlichste Aufsichts-Eskalation **Verwarnung → niedriges 4-stelliges Bußgeld**, nicht Millionen-Bescheid.
+> Skill-Hook für Bewerbungsdaten-Risk-Block: der **Online-Virenscanner-Fall** ist ein hervorragender Aufhänger für Mandanten-Skripte zu „interne Tools für externe Dateien" → konkrete Schadensereignis-Schilderung mit Verwarnungs-Folge.
+> **Beschäftigtendatenschutz als 2024-Schwerpunkt** macht LfDI BW zur natürlichen Zitier-Quelle für Mandanten mit BR/Personal-Datenflüssen; in jedem Beschäftigtendatenschutz-Audit-Block Tobias-Keber-40.-TB-Position einbinden.
+---
+## 4. HmbBfDI — 33. Tätigkeitsbericht Datenschutz 2024 (Hamburg)
+**Veröffentlicht**: 02. April 2025
+**Berichterstatter**: Thomas Fuchs
+**Zuständigkeit**: öffentlicher und nicht-öffentlicher Bereich Hamburg
+**Source — Landingpage**: <https://datenschutz-hamburg.de/service-information/taetigkeitsberichte/taetigkeitsbericht-datenschutz-2024>
+**Source — PDF Volltext**: <https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Taetigkeitsberichte_Datenschutz/Taetigkeitsberichte_PDF/33._Taetigkeitsbericht_Datenschutz_2024-web.pdf>
+**Source — Pressemitteilung**: <https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Pressemitteilungen/2025/250402_PM_HmbBfDI_stellt_Taetigkeitsbericht_Datenschutz_2024_vor.pdf>
+### Bußgeld-Statistik 2024
+- Anzahl rechtskräftig abgeschlossener Bußgeldverfahren: **20** (höchste Zahl seit 2020)
+- Gesamtsumme rechtskräftiger Bußgelder: **>1,2 Mio. EUR**
+- Höchstes Einzelbußgeld 2024: **900.000 EUR** (Inkasso-/Forderungsmanagement-Unternehmen, Hamburger Sitz — Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO + Art. 6 Abs. 1 DSGVO; Daten wurden trotz abgelaufener Löschfristen ohne Rechtsgrundlage weiter aufbewahrt)
+- Zwischenstand August 2024: 130.000 EUR — nach Abschluss der Forderungsmanagement-Schwerpunktprüfung erfolgte der Sprung auf >1,2 Mio. EUR
+- Schwerpunkte: schlechtes Datenmanagement (Speicherung über die Erforderlichkeit hinaus, schlampige Vernichtung), nicht primär Vorsatz, sondern Fahrlässigkeit / „nachlässige Unkenntnis"
+### Beschwerde- und Datenpannen-Statistik 2024
+- Beschwerden gesamt: **[Zahl im Volltext-PDF — manueller Check pflicht]**
+- Datenpannenmeldungen: **[Zahl im Volltext-PDF — manueller Check pflicht]**
+### Schwerpunkt-Themen 2024
+1. **Branchenweite Schwerpunktprüfung Forderungsmanagement / Inkasso** (Hamburg ist europäischer Inkasso-Sitz-Schwerpunkt — Schwerpunktprüfung mit detaillierten Fragebögen an Anbieter)
+2. **Anti-Terror- und Rechtsextremismus-Datenbanken** — Kontrolle gemeinsam mit Landesamt für Verfassungsschutz
+3. **Videoüberwachung Hauptbahnhof / Hachmannplatz**
+4. **Whistleblower-System Geldwäsche-Aufsicht** — Online-Meldedienst-Prüfung
+5. **Schlechtes Datenmanagement / Löschfristen** (querschnittlich)
+### Top-Fälle / Aufsichtsthemen mit Lehrwert
+1. **900.000-EUR-Bescheid Inkasso-Unternehmen** — Datenaufbewahrung trotz abgelaufener Löschfristen ohne Rechtsgrundlage; Verstoß Art. 5 Abs. 1 lit. a + Art. 6 Abs. 1 DSGVO; Bescheid rechtskräftig akzeptiert
+2. **Forderungsmanagement-Schwerpunktprüfung** — branchenweite Stichprobe via detaillierter Fragebögen; präzedenz-bildend für andere Behörden
+3. **Hachmannplatz-Videoüberwachung Hauptbahnhof** — öffentlich-rechtliche Videoüberwachung an stark frequentiertem Knotenpunkt, Verhältnismäßigkeits-Prüfung
+4. **Verfassungsschutz-Datenbank-Kontrolle** — Anti-Terror-Datenbank + Rechtsextremismus-Datenbank; behördlicher Datenschutz im Sicherheitsbereich
+5. **Whistleblower-Meldesystem Geldwäsche-Aufsicht** — Online-Meldedienst-Datenfluss-Prüfung
+### Audit-Anwendung im Skill
+> HmbBfDI 2024: **20 Bußgelder × 1,2 Mio. EUR = ~60.000 EUR Mittelwert** — aber **eines davon allein 900.000 EUR**, also ist das Mittel verzerrt. Skill-Implikation: Hamburg trifft präzise und hart, wenn ein Branchen-Schwerpunkt aktiviert wird. Bei Mandanten in **Forderungsmanagement / Inkasso** ist HmbBfDI-Risk derzeit maximal — der Schwerpunktprüfungs-Cycle läuft fort.
+> Skill-Hook Löschfristen: der 900.000-EUR-Bescheid bezog sich konkret auf die Verletzung von Löschfristen (= klassisches Ablauf-/Aufbewahrungs-Frist-Thema). Skill-Output muss in jedem Audit-Block zu Löschkonzepten / Aufbewahrungspflichten den **Inkasso-Bescheid 2024** als „aktuelle Marktrealität" zitieren — die Behörde sieht hier 6-stellige Strafen als angemessen.
+> **Sektor-Trigger**: bei Inkasso, Mahnwesen, Forderungs-Outsourcing, BPO mit Forderungsdaten → HmbBfDI-Schwerpunktprüfung als Audit-Risiko explizit benennen.
+---
+## 5. LDI NRW — 30. Tätigkeitsbericht Datenschutz und Informationsfreiheit (Berichtszeitraum 2024)
+**Veröffentlicht**: 10. Juni 2025
+**Berichterstatterin**: Bettina Gayk (Landesbeauftragte)
+**Zuständigkeit**: öffentlicher und nicht-öffentlicher Bereich Nordrhein-Westfalen
+**Source — Landingpage Pressemitteilung**: <https://www.ldi.nrw.de/30_DIB>
+**Source — PDF Volltext**: <https://www.ldi.nrw.de/system/files/media/document/file/30.-bericht.pdf>
+**Source — Berichts-Übersicht**: <https://www.ldi.nrw.de/berichte>
+> **Hinweis**: für 2023-er Daten (29. Bericht): <https://www.ldi.nrw.de/system/files/media/document/file/29_bericht_2024_3.pdf> — wurde im 29. Bericht mit 11.050 Eingaben + 65 Bußgeldbescheiden / 64.650 EUR / 111 Verfahren / 2.039 Datenpannen ausgewiesen.
+### Bußgeld-Statistik 2024 (30. Bericht)
+- Anzahl verhängte Bußgelder: **[Zahl im Volltext-PDF — manueller Check pflicht]** (Vergleichswert 29. TB / 2023: 65 Bußgeldbescheide)
+- Gesamtsumme: **[Zahl im Volltext-PDF — manueller Check pflicht]** (Vergleichswert 2023: 64.650 EUR — niedrig im DE-Vergleich; Pressehinweis 2025-er Datenlage spricht von „nahe an einer halben Million Euro" für 2025, was eine deutliche Steigerung gegenüber 2024 nahelegt)
+- Höchstes Einzelbußgeld 2024: **[Zahl im Volltext-PDF — manueller Check pflicht]**
+- Sekundär-Hinweise (datenschutz-agad / ask-datenschutz): einzelne 2025-er Bescheide wurden öffentlich kommuniziert (35.000 EUR wegen Nichtbeachtung von Auskunfts-/Löschungs-Anspruch; Personalvermittlungs-Bußgeld) — Detail-Daten zum reinen 2024-Berichtszeitraum aus dem 30. TB sind im Volltext zu prüfen.
+### Beschwerde- und Datenpannen-Statistik 2024
+- Eingaben gesamt 2024: **12.490** (Rekord laut LDI; 2023: 11.050 — Anstieg ~13 %)
+- Datenschutzbeschwerden Anteil: **[Zahl im Volltext-PDF — manueller Check pflicht]**
+- Datenpannen-Meldungen 2024: **[Zahl im Volltext-PDF — manueller Check pflicht]** (Vergleichswert 2023: 2.039)
+### Schwerpunkt-Themen 2024
+1. **Künstliche Intelligenz** — übergreifender Schwerpunkt 2024 (Gayk: „KI wird ganz sicher eines der wichtigsten Themen für uns")
+2. **Microsoft / Microsoft 365 in Behörden und Schulen** — scharfe öffentliche Kritik am LDI-NRW-Pressetermin; Empfehlung gegen MS-Produkte in Schulen + öffentlicher Verwaltung
+3. **Videoüberwachung** (querschnittlich)
+4. **Datennutzung zu Werbezwecken** — neuer Fachbereich „Datenschutz in Online- und Mediendiensten"
+5. **Krankenversicherer-Datenaustausch** (Aufsichts-Aufgriff)
+6. **Standortdaten / Geo-Tracking** (WetterOnline-Fall)
+### Top-Fälle / Aufsichtsthemen mit Lehrwert
+1. **11 Krankenversicherer-Konsortium NRW** — illegaler Austausch sensitiver Gesundheitsdaten zwischen 11 NRW-Krankenversicherern; LDI stoppte die Praxis
+2. **WetterOnline (NRW-Sitz)** — Weitergabe präziser Standortdaten an Dritte ohne wirksame Einwilligung; Aufsichts-Stop nach kurzer Zeit
+3. **Emotion-Recognition-Software in Call-Center-Betrieb** (NRW-Standort) — heimlicher Einsatz; Aufsichts-Stop
+4. **MS 365 in Schulen / Behörden** — strukturelle Aufsichts-Kritik und öffentliche Empfehlung gegen Einsatz
+5. **Pur-Abo-Modelle / Tracking-vs-Pay-Wahl** (Folge-Themen aus 29. TB) — weiterhin in Aufsichts-Beobachtung
+6. **35.000-EUR-Bußgeld Auskunftsrecht-Verletzung** (2025-er Folge-Aufsicht zu 2024 dokumentierten Fällen)
+### Audit-Anwendung im Skill
+> LDI NRW 2024: **12.490 Eingaben (+13 %)** — bevölkerungsreichstes Bundesland, höchste absolute Beschwerde-Last DE-weit. Skill-Implikation: für Mandanten in NRW ist die statistische Wahrscheinlichkeit eines Aufsichts-Erst-Kontakts hoch, aber die Bußgeld-Quote (65 / 11.050 in 2023 = 0,6 %) ist niedrig. Aufsichts-Erstkontakt ≠ automatische Bußgeld-Eskalation, **aber** die NRW-Bußgeld-Linie zieht 2025 deutlich an („nahe halbe Million" für das 2025-Berichtsjahr).
+> Skill-Hook MS 365: für jeden Audit von Mandanten in NRW (insbesondere öffentliche Verwaltung, Schulen, Hochschulen) muss die **Gayk-Position aus dem 30. TB** als KO-Kriterium für MS-365-Einsatz zitiert werden; Behörden in NRW haben hier konkrete Migrations-Druckpunkte.
+> Skill-Hook Branchen-Trigger:
+> - Krankenversicherung / Gesundheitsdaten-Austausch → LDI-NRW-11-Versicherer-Fall zitieren
+> - Standortdaten / Mobile Apps → WetterOnline-Fall zitieren
+> - Emotion-AI / Sentiment-Analyse Call-Center → Call-Center-Fall zitieren
+> Diese 3 sind 2024-er Aufsichts-Stops und damit aktueller als ältere Präzedenzen.
+---
+## Vergleichstabelle Bußgelder 2024 (alle 5 Behörden)
+| Behörde   | Berichts-Nr. | Anzahl Bescheide 2024 | Gesamtsumme 2024 | Höchstes Einzel-Bußgeld 2024 | Top-Fall 2024                                    |
+|-----------|---------------|------------------------|------------------|------------------------------|-------------------------------------------------|
+| BfDI      | 33. TB        | 0                      | 0 EUR            | n/a                          | ePA-Roll-out + KI-VO-Empfehlung (Beanstandungs-Linie) |
+| BayLDA    | 14. TB        | [Volltext-PDF-Check]   | [Volltext-PDF-Check] (Vergleich 2023: ~3,8 Mio. EUR) | [Volltext-PDF-Check] | Worldcoin-Hauptverfahren (EU-Federführung) |
+| LfDI BW   | 40. TB        | 53                     | ~626.700 EUR     | [Volltext-PDF-Check]         | Bewerbungsdaten-Online-Virenscanner (Verwarnung) |
+| HmbBfDI   | 33. TB        | 20                     | >1,2 Mio. EUR    | 900.000 EUR (Inkasso-Unternehmen) | Forderungsmanagement-Schwerpunktprüfung |
+| LDI NRW   | 30. TB        | [Volltext-PDF-Check] (Vergleich 2023: 65) | [Volltext-PDF-Check] (Vergleich 2023: 64.650 EUR) | [Volltext-PDF-Check] | 11 Krankenversicherer-Konsortium + WetterOnline-Stop |
+> **DE-Aggregat 2024 (näherungsweise, ohne BayLDA-Volltext-Check)**: ≥73 Bußgelder mit ≥1,8 Mio. EUR aus 3 Landes-Behörden (BW + HH + Teil-NRW) ohne BayLDA. **Mit BayLDA-2023-Vergleichswert (3,8 Mio. EUR) liegt die wahrscheinliche tatsächliche DE-Aufsichts-Bußgeld-Summe 2024 oberhalb von 5–6 Mio. EUR über alle 5 referenzierten Behörden.**
+---
+## Schwerpunkt-Cluster 2024 (gemeinsame Themen über Behörden hinweg)
+### Cluster 1: KI / EU-KI-VO (alle 5 Behörden)
+- **BfDI**: Empfehlung nationale KI-Aufsichts-Architektur, Forderung Rechtsgrundlage KI-Training
+- **BayLDA**: Worldcoin-Hauptverfahren (Iris-Biometrie + Token), KI-Beratungs-Volumen steigend
+- **LfDI BW**: KI-VO-Beratung Verwaltung, KI-und-Datenschutz Querschnitts-Schwerpunkt
+- **HmbBfDI**: KI im Schwerpunkt (themen-implizit über digitale Gesundheit + Werbe-Targeting)
+- **LDI NRW**: Gayk-Statement „KI wird wichtigstes Thema", Emotion-AI-Call-Center-Stop
+- **Audit-Implikation**: Jeder Mandant mit KI-Komponente (eigenes Training, LLM-API-Nutzung, KI-Entscheidungs-Automation) muss in 2024 eine KI-VO-Bestandsaufnahme + Datenschutz-Folgenabschätzung haben — fünf Behörden machen das in 2024 zum Top-Schwerpunkt.
+### Cluster 2: Beschäftigtendatenschutz (3+ Behörden)
+- **LfDI BW** (explizit Top-3-Schwerpunkt 2024)
+- **BayLDA** (CEF-Auskunfts-Aktion teilweise Beschäftigten-betroffen)
+- **LDI NRW** (Querschnittsthema)
+- **Audit-Implikation**: 2024 ist ein klares Beschäftigtendatenschutz-Schwerpunkt-Jahr; Mandanten mit BR-Konflikten, Mitarbeiter-Tracking, BPO-HR-Auslagerung sollen explizite Aufsichts-Prävention durchlaufen.
+### Cluster 3: Videoüberwachung (3 Behörden mit konkreter Aufsicht)
+- **BayLDA** (~21 % der Beschwerden — Top-1)
+- **HmbBfDI** (Hachmannplatz / Hauptbahnhof)
+- **LDI NRW** (Querschnittsthema im 30. TB)
+- **Audit-Implikation**: in jedem Audit-Mandat mit Videoüberwachungs-Komponente: Kamera-Map, Hinweis-Schilder-Konformität, Speicherdauer, Zweckbindung als Pflicht-Block.
+### Cluster 4: Werbe-Targeting / Tracking / Consent-Banner (3+ Behörden)
+- **BayLDA** (Internet-Beschwerden ~20 %, Werbe-Beschwerden ~14 %, Werbe-Targeting-Aufsichts-Linie)
+- **LfDI BW** (Deceptive Design Patterns als 2024-Schwerpunkt)
+- **LDI NRW** (neuer Fachbereich „Datenschutz in Online- und Mediendiensten", WetterOnline-Stop)
+- **Audit-Implikation**: Cookie-Consent-Banner, Pur-Abo-Modelle, Lookalike-Audiences, gehashte E-Mail-Targeting → 2024 hochaktive Aufsichts-Schwerpunkte.
+### Cluster 5: Gesundheitsdaten / digitale Gesundheit (BfDI + LDI NRW)
+- **BfDI** (ePA-Roll-out, FDZ, Opt-Out-Modell)
+- **LDI NRW** (11 Krankenversicherer-Konsortium-Stop)
+- **Audit-Implikation**: Mandanten in Gesundheitsbereich (Krankenversicherer, Klinik-IT, Telemedizin, Gesundheits-App-Anbieter) sind 2024 in der unmittelbaren Aufsichts-Aufmerksamkeits-Zone.
+### Cluster 6: Löschfristen / Aufbewahrungspflichten (HmbBfDI Lead-Case)
+- **HmbBfDI** (900.000-EUR-Inkasso-Bescheid wegen Löschfristen-Verletzung — DE-weit der präzedenz-stärkste 2024-Bescheid in dieser Klasse)
+- **Audit-Implikation**: jeder Mandant ohne dokumentiertes Löschkonzept ist ab 2024 6-stellig-Bußgeld-exponiert; Skill-Output muss Löschkonzept als Pflicht-Section behandeln.
+---
+## Skill-Integration-Notes
+### Aktualisierungs-Pflicht
+Diese Reference ist auf Berichts-Stand 2024 (Berichtsjahr) / Veröffentlichung 2025 fixiert. Aktualisierung **jährlich** wenn die 2025-er Berichte verfügbar sind:
+- LDI NRW 31. Bericht (17.04.2026 bereits vorgelegt — beim nächsten Cycle einarbeiten)
+- BfDI 34. Bericht (Q2 2026 erwartet)
+- BayLDA 15. Bericht (Q2 2026 erwartet)
+- HmbBfDI 34. Bericht (Q1–Q2 2026 erwartet)
+- LfDI BW 41. Bericht (Q1 2026 erwartet)
+### Volltext-PDF-Check-Pflicht
+Markierte `[Zahl im Volltext-PDF — manueller Check pflicht]`-Stellen sind **vor Skill-Production-Use** zu verifizieren. Web-Snippets enthielten teils nur runde Zahlen oder Vorjahres-Vergleichswerte ohne 2024-er Punktzahlen. Pflicht-Snapshot-Update in einem Folge-Cycle.
+### Disclosure parking lot — LOCAL ONLY
+Keine Disclosure-Items aus dieser Reference (Tätigkeitsberichte sind öffentlich; alle zitierten Fälle stammen aus offiziellen Pressetexten / Berichten — es gibt nichts „Geheimes" zu disclosen).
+---
+> **Provenance-Trail-Hinweis**: Quellen wurden via WebFetch / WebSearch am 2026-05-05 abgerufen. Einige direkte Behörden-Landingpage-Fetches schlugen fehl (ECONNREFUSED) — Inhalte wurden alternativ über Pressemitteilungen + zwei oder mehr Sekundärquellen-Cross-Reference gewonnen, niemals halluziniert. Bei jeder Zahl ist die Quelle dokumentiert.