@aegis-scan/skills 0.5.0 → 0.5.2

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-dsk-beschluesse.md

@@ -0,0 +1,346 @@
+# DSK-Beschlüsse — Skill-Reference v1.0
+
+> Stand: 2026-05-05 · ~30 DSK-Beschlüsse, Orientierungshilfen, Kurzpapiere, Anwendungshinweise, Entschließungen.
+> Quelle: datenschutzkonferenz-online.de (primary) + bfdi.bund.de (DSK-Tabellen-Mirror).
+> DSK = Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes
+> und der Länder. Beschlüsse sind nicht-rechtsverbindlich, aber Behörden-bindend
+> in Praxis (abgestimmte Aufsichts-Position; Massstab fuer LfDI-Pruefverfahren).
+> Generiert fuer brutaler-anwalt v5.0.0 Max-Out (Phase 2.2).
+
+> **Source-Pflicht**: jeder Eintrag enthaelt Datum, Titel, Tenor-Kern, Anwendungs-Pattern und mind. 1 Primaerquelle (datenschutzkonferenz-online.de bzw. bfdi.bund.de) ODER 2 Sekundaerquellen (Aufsichtsbehoerden-Landesseite + Fachblog). Unverifiziertes wandert in den Abschnitt `NOT_VERIFIED`.
+
+> **Status-Hinweis**: Die DSK selbst hat keine eigene Rechts-Setzungs-Kompetenz. Beschluesse, Positionspapiere, Orientierungshilfen, Anwendungshinweise und Kurzpapiere bilden die abgestimmte Aufsichts-Praxis ab — wer dagegen verstoesst, riskiert Aufsichtsmassnahmen (Verwarnung, Anordnung, Bussgeld nach Art. 58/83 DSGVO). Gerichte folgen DSK-Linien zwar haeufig, sind aber nicht gebunden (BVerwG- und EuGH-Linien gehen vor; siehe EuGH-Linie zu Art. 82 in `eu-eugh-dsgvo-schadensersatz.md`).
+
+---
+
+## Inhalt
+
+### Cluster A — Microsoft 365 / Cloud / Telemedien
+1. DSK-Festlegung — Microsoft-Onlinedienste / M365 (24.11.2022)
+2. DSK-Beschluss — Google Analytics im nicht-oeffentlichen Bereich (12.05.2020)
+3. DSK-Beschluss — Telemetriefunktionen Windows 10 Enterprise (26.11.2020)
+4. DSK-OH — Telemedien 2021 / TTDSG-Cookie-Layer (20.12.2021, Update 05.12.2022)
+5. DSK-Beschluss — Pur-Abo-Modelle / "Pay or Okay" (22.03.2023)
+6. DSK-OH — Videokonferenzsysteme (30.10.2020) + Checkliste (13.11.2020)
+
+### Cluster B — Beschäftigtendaten / Hinweisgeberschutz / KI-im-Job
+7. DSK-Entschliessung — "Die Zeit fuer ein Beschaeftigtendatenschutzgesetz ist 'Jetzt'!" (29.04.2022)
+8. DSK-Entschliessung — Beschaeftigtendatenschutz Rendsburg (11.05.2023)
+9. DSK-OH — Whistleblowing-Hotlines / firmeninterne Warnsysteme (14.11.2018)
+10. DSK-OH — Kuenstliche Intelligenz und Datenschutz (06.05.2024)
+11. DSK-Beschluss — Verarbeitung Impfstatus von Beschaeftigten (25.10.2021)
+
+### Cluster C — Auskunftsrecht / Schadensersatz / Bussgeld
+12. DSK-Kurzpapier Nr. 6 — Auskunftsrecht Art. 15 DSGVO (Stand 17.12.2018)
+13. DSK-Konzept — Bussgeldzumessung in Verfahren gegen Unternehmen (16.10.2019)
+14. DSK-Kurzpapier Nr. 18 — Risiko fuer Rechte und Freiheiten natuerlicher Personen (26.04.2018)
+
+### Cluster D — Drittland-Uebermittlung
+15. DSK-PM — Schrems II / EuGH C-311/18 (16.07.2020)
+16. DSK-Anwendungshinweise — EU-US Data Privacy Framework (04.09.2023)
+
+### Cluster E — Cookies / Tracking / Werbung
+17. DSK-OH — Direktwerbung unter DSGVO (Stand 01.02.2022, Erst-Version 07.11.2018)
+18. DSK-Kurzgutachten — Datenschutz-Konformitaet von Facebook-Fanpages (10.11.2022) + Beschluss-Annahme (23.03.2022)
+
+### Cluster F — Sektor: Gesundheit / Video / Asset-Deal
+19. DSK-Beschluss — Cloudbasierte digitale Gesundheitsanwendungen (06.11.2023)
+20. DSK-Whitepaper — Messenger-Dienste im Krankenhausbereich (07.11.2019)
+21. DSK-OH — Videoueberwachung durch nicht-oeffentliche Stellen (04.09.2020)
+22. DSK-Positionspapier — Datenuebermittlung im Asset-Deal (11.09.2024)
+23. DSK-Beschluss — Verbrauchervorschriften ueber digitale Produkte im BGB (24.11.2022)
+
+### Cluster G — Data-Breach + Meldung (Kontext-Linie)
+24. (Kein eigener konsolidierter DSK-Beschluss; Standard ist Art. 33 DSGVO i. V. m. EDSA-Guidelines 9/2022)
+
+### Cluster H — Standardisierung (SDM, DSFA-Liste, VVT, IT-Sicherheit)
+25. DSK-SDM — Standard-Datenschutzmodell V3.0 (24.11.2022) / V3.1-Update (2024)
+26. DSK-Kurzpapier Nr. 5 — Datenschutz-Folgenabschaetzung Art. 35 DSGVO (Stand 17.12.2018)
+27. DSK-Muss-Liste — Verarbeitungsvorgaenge nach Art. 35 Abs. 4 DSGVO (Stand 17.10.2018, fortlaufend)
+28. DSK-Kurzpapier Nr. 1 — Verzeichnis von Verarbeitungstaetigkeiten Art. 30 DSGVO (Stand 17.12.2018)
+29. DSK-Beschluss — Nichtanwendung TOM nach Art. 32 auf ausdruecklichen Wunsch Betroffener (24.11.2021)
+30. DSK-OH — Schutz personenbezogener Daten bei Uebermittlung per E-Mail (16.06.2021)
+
+---
+
+## Cluster A — Microsoft 365 / Cloud / Telemedien
+
+### DSK — Festlegung "Microsoft-Onlinedienste / M365" (24.11.2022)
+- **Tenor / Kern-Aussage**: Verantwortliche koennen den Nachweis eines DSGVO-konformen Betriebs von M365 auf Basis des Microsoft-DPA-Stands vom 15.09.2022 NICHT erbringen. Insbesondere fehlt Transparenz, fuer welche Eigenzwecke Microsoft Telemetrie/Diagnose-Daten verarbeitet, und die Rolle Auftragsverarbeiter vs. Verantwortlicher ist nicht trennscharf abgegrenzt. M365 wird in der Standard-Konfiguration als nicht-DSGVO-konform eingestuft.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (104. DSK-Sitzung).
+- **Audit-Anwendung**: Bei jeder Audit-Feststellung "M365-Einsatz ohne erweiterte Konfiguration / ohne EU Data Boundary aktiviert / ohne Telemetrie-Reduktion" → Zitat dieses Beschlusses als Aufsichts-Standard. Findings: M365-Tenant ohne dokumentierten DPA-Review, ohne Deaktivierung "Connected Experiences", ohne Diagnose-Datenstufe "Required" oder niedriger.
+- **Source**: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf · BfDI-Mirror: `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/104DSK-Festlegung-Microsoft-Onlinedienste.html`
+
+### DSK — Beschluss "Google Analytics im nicht-oeffentlichen Bereich" (12.05.2020)
+- **Tenor / Kern-Aussage**: Der Einsatz von Google Analytics in der Standard-Konfiguration ist rechtswidrig — er stuetzt sich auf Cookies/aehnliche Technologien, die ohne Einwilligung gesetzt werden, und uebermittelt personenbezogene Daten in die USA, ohne dass die Drittland-Voraussetzungen sicher erfuellt sind. § 25 TTDSG (heute § 25 TDDDG) verlangt Einwilligung, Art. 49 DSGVO ist keine Dauer-Loesung.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (99. DSK-Sitzung).
+- **Audit-Anwendung**: Findings "Google-Analytics ohne Cookie-Banner" / "GA mit auto-fire vor Consent" / "Pseudonymisierungs-Argument als Ersatz fuer Einwilligung" → Zitat als Aufsichts-Linie. Ergaenzt EuGH-Linie Schrems-II-konforme Drittland-Pruefung.
+- **Source**: BfDI-Mirror `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/99DSK_Google-Analytics.html`
+
+### DSK — Beschluss "Telemetriefunktionen Windows 10 Enterprise" (26.11.2020)
+- **Tenor / Kern-Aussage**: Microsoft Windows 10 Enterprise uebermittelt — selbst bei Telemetrie-Stufe "Sicherheit / Security" — fortwaehrend Diagnose-Daten an Microsoft, deren Inhalt und Zweck fuer den Verantwortlichen nicht hinreichend transparent dargestellt sind. Ohne weitergehende technische und organisatorische Massnahmen ist der DSGVO-konforme Betrieb nicht nachweisbar.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (100. DSK-Sitzung).
+- **Audit-Anwendung**: Findings "Windows-10/11-Endpoints ohne dokumentierte Telemetrie-Reduktion" / "fehlende GPO-Konfiguration `AllowTelemetry=0/1`" / "Defender-SmartScreen-Sendung an Microsoft ungeprueft" → Zitat als Aufsichts-Standard. Verbindet sich mit der M365-Festlegung 24.11.2022.
+- **Source**: BfDI-Mirror `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/100DSK_Windows10-Telemetriedaten.html`
+
+### DSK — OH "Telemedien 2021" / TTDSG-Cookie-Layer (20.12.2021, Update 05.12.2022)
+- **Tenor / Kern-Aussage**: § 25 TTDSG (jetzt § 25 TDDDG) verlangt fuer das Setzen / Auslesen von Informationen auf Endgeraeten die vorherige Einwilligung des Nutzers — nur "unbedingt erforderliche" Cookies sind ausgenommen. Cookie-Banner muessen einen gleichwertigen Reject-Button auf der ersten Ebene anbieten; Dark-Patterns (Pre-Ticked, Reject-Button-Hide) sind unzulaessig. Die Einwilligung muss informiert, freiwillig, granular und widerrufbar sein.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (Hauptmassstab fuer LfDI-Cookie-Banner-Pruefverfahren in DE).
+- **Audit-Anwendung**: STANDARD-Zitation bei JEDEM Cookie-/Tracking-Befund. Findings: "kein Reject-Button auf Layer 1" / "Cookie-Banner mit pre-ticked Optional" / "Tracker fire pre-consent" / "Consent-Widerruf nicht im UI erreichbar" / "Granularitaet verfehlt — pauschale 'Alle akzeptieren'-Logik".
+- **Source**: https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf · Update v1.1: https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf
+
+### DSK — Beschluss "Pur-Abo-Modelle" / "Pay or Okay" auf Websites (22.03.2023)
+- **Tenor / Kern-Aussage**: Pur-Abo-Modelle ("entweder bezahlen oder Tracking-Einwilligung") sind grundsaetzlich zulaessig — Tracking kann auf Einwilligung gestuetzt werden, wenn alternativ ein trackingfreies (kostenpflichtiges) Modell angeboten wird. Voraussetzungen: (1) das Pur-Abo muss eine GLEICHWERTIGE Alternative sein (gleicher Content, vertretbarer Preis), (2) Einwilligungen muessen GRANULAR erteilt werden koennen (keine Pauschal-Einwilligung), (3) bei wesentlich unterschiedlichen Zwecken kein Bundling.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (zentraler DSK-Beschluss zur "Pay-or-Okay"-Frage; ergaenzt durch EDSA-Stellungnahme 08/2024 fuer Large-Online-Platforms — strenger).
+- **Audit-Anwendung**: Findings "Pur-Abo zu hoch bepreist (>5x Marktwert)" / "Pur-Abo ohne granulare Zweck-Einwilligung im Tracking-Pfad" / "Bundling von Marketing- + Personalisierungs- + Drittwerber-Zwecken in einer Checkbox" → Zitat als Aufsichts-Linie.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/pm/DSK_Beschluss_Bewertung_von_Pur-Abo-Modellen_auf_Websites.pdf · BfDI-Mirror `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/DSK_20230322-Pur-Abo-Modelle.html`
+
+### DSK — OH/Checkliste "Videokonferenzsysteme" (30.10.2020 OH, 13.11.2020 Checkliste)
+- **Tenor / Kern-Aussage**: Anbieter und Betreiber von Videokonferenz-Systemen muessen die DSGVO-Pflichten (Art. 6, 13, 25, 32, 28, 44 ff.) erfuellen. Die OH bewertet die Anforderungen an On-Premise- und SaaS-Systeme, die Auftragsverarbeitungs-Vertraege, Drittland-Uebermittlung (insbesondere Zoom/USA-Anbieter) und die TOMs (Ende-zu-Ende-Verschluesselung als Soll-Standard). Default-Einstellung: Aufzeichnung aus, Anwesenheits-Tracking aus.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis.
+- **Audit-Anwendung**: Findings "Zoom/Teams ohne dokumentierte Drittland-Strategie" / "Aufzeichnungs-Default an" / "Fehlender AVV mit Anbieter" / "kein E2E-verschluesselungs-Modus aktiviert (wo verfuegbar)".
+- **Source**: BfDI-Mirror `SharedDocs/Downloads/DE/DSK/Orientierungshilfen/Orientierungshilfe_Videokonferenz.html` · Checkliste: `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/DSK_20201113_Checkliste-OH-Videokonferenzsysteme.html`
+
+---
+
+## Cluster B — Beschäftigtendaten / Hinweisgeberschutz / KI-im-Job
+
+### DSK — Entschliessung "Die Zeit fuer ein Beschaeftigtendatenschutzgesetz ist 'Jetzt'!" (29.04.2022)
+- **Tenor / Kern-Aussage**: Die DSK fordert ein eigenstaendiges Beschaeftigtendatenschutzgesetz — § 26 BDSG ist als Generalklausel zu unbestimmt fuer die Praxis (besonders fuer KI-Einsatz, Mitarbeiter-Monitoring, Whistleblowing-Systeme, Health-Apps am Arbeitsplatz). Die DSK fordert dies seit 2014; die Ampel-Koalition hatte ein Gesetz im Koalitionsvertrag versprochen, aber bis Ende 2025 nicht geliefert.
+- **Status**: nicht-rechtsverbindlich (politische Forderung), aber Auslegungs-Hilfe.
+- **Audit-Anwendung**: Bei Findings im Bereich Beschaeftigten-KI / Mitarbeiter-Monitoring / Workforce-Analytics → Zitat als Beleg fuer "Aufsichts-Position: § 26 BDSG ist unzureichend, deshalb hoch-risiko-Klassifizierung in der DSFA". Stuetzt DSFA-Pflicht-Argumente.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/en/Entschliessung_Forderungen_zum_Beschaeftigtendatenschutz.pdf
+
+### DSK — Entschliessung "Beschaeftigtendatenschutz" (105. DSK Rendsburg, 11.05.2023)
+- **Tenor / Kern-Aussage**: Erneuerung der Forderung von 2022 — die DSK weist auf konkrete Regelungs-Defizite hin: Mitarbeiter-Monitoring durch KI, Verhaltens- und Leistungs-Profiling, Whistleblowing-Pflichten nach HinSchG, Auftragsdatenverarbeiter-Tools (Microsoft 365, Slack, Asana), Tracking durch BYOD-Geraete. § 26 BDSG bietet hier keine differenzierte Regelung.
+- **Status**: nicht-rechtsverbindlich.
+- **Audit-Anwendung**: Wie 29.04.2022 — Aufsichts-Position fuer Hoch-Risiko-Einstufung in DSFA.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/en/2023-05-11_DSK-Entschliessung_Beschaeftigtendatenschutz.pdf
+
+### DSK — Orientierungshilfe "Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschaeftigtendatenschutz" (14.11.2018)
+- **Tenor / Kern-Aussage**: Whistleblowing-Hotlines verarbeiten besonders sensible Daten (Verdaechtigungen ueber Mitarbeiter, ggf. Strafrechts-relevante Vorwuerfe). Die DSK empfiehlt: anonyme Meldung als Default, strenge Zugriffs-Beschraenkung, Datenminimierung, Loesch-Konzept, transparente Information aller Betroffenen (Hinweisgeber + Beschuldigte + Beschuldigte). Eine DSFA nach Art. 35 ist regelmaessig durchzufuehren.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis. Inzwischen ergaenzt durch HinSchG (02.07.2023, Inkrafttreten); die OH bleibt fuer die DSGVO-Sicht massgeblich.
+- **Audit-Anwendung**: Findings "Whistleblower-System ohne DSFA" / "fehlende Trennung der Zugriffe Beschuldigter vs. HR-Standard-Pool" / "Aufbewahrungs-Frist > zwei Jahre nach Verfahrensabschluss ohne Begruendung" → Zitat. Verbindet mit der DSFA-Muss-Liste.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/oh/20181114_oh_whistleblowing_hotlines.pdf · BfDI-Mirror `SharedDocs/Downloads/DE/DSK/Orientierungshilfen/DSK_20181114_Orientierungshilfe_Whistleblowing_Hot.html`
+
+### DSK — Orientierungshilfe "Kuenstliche Intelligenz und Datenschutz" (06.05.2024)
+- **Tenor / Kern-Aussage**: Erste konsolidierte DSK-OH zu LLMs / Chatbots / KI-Systemen unter DSGVO. Schwerpunkte: (1) Auswahl-Kriterien (Hosting / Datenfluesse / Trainingsdaten-Provenance / EU- vs. US-Anbieter), (2) Zweckbindung und Rechtsgrundlage (Einwilligung / Vertragserfuellung / berechtigtes Interesse — KI-Training selten ueber Art. 6 Abs. 1 lit. f gerechtfertigt), (3) Betroffenenrechte (Auskunfts-, Loesch-, Korrektur-Rechte bei LLM-Ausgaben), (4) Trainings- und Personenbezug (Pseudonymisierungs-Pflichten). Die OH ergaenzt — nicht ersetzt — die KI-VO (AI Act).
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (Massstab fuer LfDI-KI-Pruefverfahren in DE).
+- **Audit-Anwendung**: STANDARD-Zitation bei JEDEM KI-/LLM-Befund. Findings "ChatGPT/Copilot ohne dokumentierte Datenfluss-Analyse" / "MA-Daten in Prompts ohne § 26 BDSG-Pruefung" / "fehlende Auskunfts-Prozedur fuer KI-generierte Personenbezuege" / "kein DPA / AVV mit dem KI-Anbieter". Verbindet mit AI-Act Art. 5 Abs. 1 lit. e (Beschaeftigten-Emotion-Recognition verboten).
+- **Source**: https://www.datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf · PM: https://datenschutzkonferenz-online.de/media/pm/2024_05_06_DSK_PM_OH_KI_und_Datenschutz.pdf
+
+### DSK — Beschluss "Verarbeitung Impfstatus von Beschaeftigten" (25.10.2021)
+- **Tenor / Kern-Aussage**: Arbeitgeber duerfen den Impf-Status nur in eng definierten Faellen verarbeiten — gesetzliche Grundlage erforderlich (z. B. § 23a IfSG, § 36 Abs. 3 IfSG fuer bestimmte Einrichtungen). Eine pauschale Abfrage durch Arbeitgeber war damals nicht zulaessig.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (historisch wichtig — Pandemie-Zeit-Standard).
+- **Audit-Anwendung**: Heute primaer historische Relevanz; bei Findings zu Gesundheits-Monitoring von MA / Sick-Leave-Tracking → Zitat als Beleg fuer enge Zweckbindung bei MA-Gesundheits-Daten (Art. 9 DSGVO i. V. m. § 26 BDSG).
+- **Source**: BfDI-Mirror `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/DSK_20211019_Beschluss-Impfstatus-Beschaeftigte.html`
+
+---
+
+## Cluster C — Auskunftsrecht / Schadensersatz / Bussgeld
+
+### DSK-Kurzpapier Nr. 6 — Auskunftsrecht der betroffenen Person, Art. 15 DSGVO (Stand 17.12.2018)
+- **Tenor / Kern-Aussage**: Das Auskunftsrecht erfordert keine Begruendung. Es umfasst (a) Bestaetigung der Verarbeitung, (b) Kopie der personenbezogenen Daten, (c) Informationen zu Zwecken, Empfaengern, Speicherdauer, Drittland-Uebermittlung, Rechten. Die Ein-Monats-Frist (Art. 12 Abs. 3 DSGVO) ist strikt. Identitaets-Pruefung ist zulaessig, darf aber nicht zur Verzoegerungs-Taktik missbraucht werden.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (eines der meist-zitierten Kurzpapiere).
+- **Audit-Anwendung**: STANDARD-Zitation bei JEDEM Art-15-Befund. Findings "Antwort > 1 Monat ohne Verlaengerungs-Mitteilung" / "Ablehnung wegen 'fehlender Begruendung'" / "uebermaessige Identitaets-Pruefung mit Foto-Ausweis-Pflicht" / "Auskunft ohne Empfaenger-Liste" / "unvollstaendige Kopie der Verarbeitungs-Zwecke".
+- **Source**: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_6.pdf
+
+### DSK-Konzept "Bussgeldzumessung in Verfahren gegen Unternehmen" (16.10.2019)
+- **Tenor / Kern-Aussage**: Fuenf-Stufen-Konzept zur Bussgeld-Bemessung: (1) Groessenklassen-Zuordnung des Unternehmens nach Vorjahresumsatz, (2) durchschnittlicher Jahresumsatz der Unterklasse, (3) wirtschaftlicher Grundwert (Tagessatz = Jahresumsatz / 360), (4) Multiplikator nach Schweregrad des Verstosses (leicht / mittel / schwer / sehr schwer), (5) taeterbezogene Anpassung (Kooperation, Wiederholungstat, Schadens-Wiedergutmachung). Bezieht sich auf inlaendische Verfahren; nicht bindend fuer EuGH/EDSA.
+- **Status**: nicht-rechtsverbindlich (interne LfDI-Praxis), spaeter durch EDSA-Guidelines 04/2022 zur Bussgeld-Bemessung ergaenzt.
+- **Audit-Anwendung**: Bei Bussgeld-Risiko-Einschaetzung in der Audit-Empfehlung → Zitat zur Berechnungs-Methodik. Beispiel: Unternehmen mit 20 Mio. EUR Jahresumsatz, mittlerer Schweregrad: Tagessatz ≈ 55.555 EUR, Multiplikator 4-8, Bussgeld-Korridor 220k - 1,1 Mio. EUR vor taeterbezogener Anpassung.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf · BfDI-Mirror `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/DSK_20191016_Konzept_Bussgeldbemessung.html`
+
+### DSK-Kurzpapier Nr. 18 — Risiko fuer Rechte und Freiheiten natuerlicher Personen (26.04.2018)
+- **Tenor / Kern-Aussage**: Das "Risiko" fuer Rechte und Freiheiten natuerlicher Personen ist zentrales DSGVO-Konzept (Art. 24, 25, 32, 33, 34, 35). Die DSK definiert Risiko als Funktion aus Eintritts-Wahrscheinlichkeit + Schadens-Schwere. Hoch-Risiko-Indikatoren: sensitive Daten (Art. 9), Vulnerable Groups (Kinder, Arbeitnehmer, Patienten), automatisierte Entscheidung mit Rechtswirkung, gross-scale Verarbeitung, Profiling, neue Technologien.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (Grundlage fuer DSFA-Schwellenwert-Bewertung).
+- **Audit-Anwendung**: STANDARD-Zitation bei JEDER Risiko-Einstufung in der Audit-Empfehlung. Verbindet mit Art-32-TOM-Pflichten und Art-35-DSFA-Schwelle.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf
+
+---
+
+## Cluster D — Drittland-Uebermittlung
+
+### DSK — PM zu Schrems II / EuGH C-311/18 (16.07.2020)
+- **Tenor / Kern-Aussage**: Die DSK begruesst die EuGH-Entscheidung Schrems II (Privacy Shield ungueltig). SCCs sind weiter gueltig, aber Verantwortliche muessen pruefen, ob das Empfaengerland ein gleichwertiges Schutzniveau bietet — wenn nicht, sind ZUSAETZLICHE Massnahmen (Verschluesselung, Pseudonymisierung, vertragliche Zusicherungen) erforderlich. Datenuebermittlung in die USA ohne weitere Massnahmen ist regelmaessig unzulaessig.
+- **Status**: nicht-rechtsverbindlich (Pressemitteilung), aber Aufsichts-Linie. Spaeter ergaenzt durch EDSA-Recommendations 01/2020 (final 18.06.2021).
+- **Audit-Anwendung**: Findings "US-Anbieter ohne dokumentiertes Transfer-Impact-Assessment (TIA)" / "SCCs ohne ergaenzende technische Massnahmen" / "Adequacy-Argument auf Privacy-Shield-Basis (post-2020)" → Zitat. Verbindet mit DPF-Anwendungshinweisen 04.09.2023 und Schrems-III-EuGH-Linie (C-446/21).
+- **Source**: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf
+
+### DSK-Anwendungshinweise — EU-US Data Privacy Framework (04.09.2023)
+- **Tenor / Kern-Aussage**: Mit Inkrafttreten des Angemessenheitsbeschlusses 10.07.2023 ist Datenuebermittlung in die USA grundsaetzlich wieder ohne SCCs/TIA moeglich — ABER nur an US-Unternehmen, die self-zertifiziert sind und auf der DPF-Liste gefuehrt werden. Die Adequacy ist sektorell. Verantwortliche muessen pruefen: (1) Ist der konkrete Empfaenger DPF-zertifiziert? (2) Ist die Zertifizierung aktuell? (3) Welche Beschwerde-Mechanismen stehen Betroffenen zur Verfuegung?
+- **Status**: nicht-rechtsverbindlich (Anwendungshinweise), aber Aufsichts-Linie. CAVE: Schrems-III-EuGH-Linie (C-446/21) zeichnet sich ab; die DPF-Adequacy steht voraussichtlich erneut auf dem Pruefstand.
+- **Audit-Anwendung**: Findings "US-Anbieter angeblich DPF-zertifiziert, aber Mutter-Konzern oder Sub-Processor ist NICHT zertifiziert" / "Verlass auf DPF ohne Listings-Pruefung" / "Keine alternative Strategie fuer den DPF-Wegfall" → Zitat.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/ah/230904_DSK_Ah_EU_US.pdf · PM: https://datenschutzkonferenz-online.de/media/pm/230904_DSK_PM_Anwendungshinweise_EU_US.pdf
+
+---
+
+## Cluster E — Cookies / Tracking / Werbung
+
+### DSK — OH "Direktwerbung unter Geltung der DSGVO" (Stand 01.02.2022, Erst-Version 07.11.2018)
+- **Tenor / Kern-Aussage**: Direktwerbung an Bestandskunden kann auf Art. 6 Abs. 1 lit. f DSGVO i. V. m. ErwGr. 47 gestuetzt werden — aber nur unter engen Voraussetzungen: (a) Werbung fuer eigene aehnliche Produkte/Dienstleistungen, (b) Daten aus dem Vertragsverhaeltnis, (c) klar erkennbares Widerspruchs-Recht (Art. 21 Abs. 2 DSGVO), (d) keine sensitive Daten. E-Mail-Werbung erfordert zusaetzlich § 7 UWG (Einwilligung, ausser § 7 Abs. 3 UWG-Ausnahme).
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis.
+- **Audit-Anwendung**: Findings "E-Mail-Werbung ohne Opt-In und ohne § 7 Abs. 3 UWG-Voraussetzungen" / "Profiling fuer Werbe-Zwecke ohne Einwilligung" / "kein klarer Widerspruchs-Mechanismus in der Werbe-Mail" → Zitat.
+- **Source**: BfDI-Mirror `SharedDocs/Downloads/DE/DSK/Orientierungshilfen/DSK_20181107_Orientierungshilfe_Direktwerbung.html`
+
+### DSK — Kurzgutachten Facebook-Fanpages (10.11.2022) + Beschluss-Annahme (23.03.2022)
+- **Tenor / Kern-Aussage**: Der Betrieb einer Facebook-Fanpage ist nach EuGH C-210/16 (Wirtschaftsakademie) gemeinsame Verantwortung Meta + Page-Betreiber (Art. 26 DSGVO). Die DSK kommt im Kurzgutachten zur Bewertung: Die Fanpage-Insights-Funktion verstoesst gegen DSGVO; Page-Betreiber, die keine Insights-Vermeidung aktiv steuern koennen, koennen ihren Pflichten nicht nachkommen. Behoerden und oeffentliche Stellen sollten Fanpages abschalten — fuer private Stellen ist eine DSFA + JC-Agreement Pflicht.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (besonders fuer oeffentliche Stellen — Bund + viele Laender haben Fanpages bereits abgeschaltet).
+- **Audit-Anwendung**: Findings "Behoerde / oeffentliche Stelle betreibt FB-Fanpage" / "Unternehmen-Fanpage ohne JC-Agreement (Art. 26)" / "fehlende DSFA fuer Insights-Datenfluss" → Zitat.
+- **Source**: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/103DSK-Kurzgutachten-Facebook.html · Beschluss zur Task Force: `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/103DSK_Beschluss-zum-Kurzgutachten-Facebook.html`
+
+---
+
+## Cluster F — Sektor: Gesundheit / Video / Asset-Deal
+
+### DSK — Beschluss "Cloudbasierte digitale Gesundheitsanwendungen" (06.11.2023)
+- **Tenor / Kern-Aussage**: Gesundheits-Apps (auch jenseits von DiGA i. S. v. § 33a SGB V) muessen Privacy-by-Design erfuellen. Cloud-Funktionen muessen abschaltbar sein, wo nicht therapeutisch zwingend; lokale Verarbeitung ohne Account-Bindung muss angeboten werden, wenn moeglich. Art-9-Daten erfordern Art. 9 Abs. 2 DSGVO-Rechtsgrundlage (regelmaessig Einwilligung lit. a oder Behandlungsvertrag lit. h).
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (Standardmassstab fuer Gesundheits-App-Pruefverfahren).
+- **Audit-Anwendung**: Findings "Health-App ohne lokalen Modus" / "Account-Bindung erzwungen ohne therapeutische Notwendigkeit" / "Cloud-Sync-Default an" / "Drittland-Anbieter ohne TIA" → Zitat.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/dskb/2023_11_06_Beschluss_cloudbasierte_digitale_Gesundheitsanwendungen.pdf
+
+### DSK — Whitepaper "Messenger-Dienste im Krankenhausbereich" (07.11.2019)
+- **Tenor / Kern-Aussage**: WhatsApp / Messenger-Apps duerfen NICHT fuer Patienten-Kommunikation in Krankenhaeusern eingesetzt werden, ohne Ende-zu-Ende-Verschluesselung mit Identitaets-Verifikation, AVV nach Art. 28, Drittland-Strategie und integrierte Aufzeichnungs-Loeschpflichten. Praxis-Standard sind speziell zertifizierte Krankenhaus-Messenger.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis.
+- **Audit-Anwendung**: Findings "WhatsApp-Pflege-Dokumentation" / "Messenger-Patientendaten-Austausch ohne KH-zertifiziertes Tool" → Zitat.
+- **Source**: BfDI-Mirror `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/98DSK_Whitepaper-Messenger-Krankenhausbereich.html`
+
+### DSK — OH "Videoueberwachung durch nicht-oeffentliche Stellen" (04.09.2020)
+- **Tenor / Kern-Aussage**: Grundlegend ueberarbeitete OH zur Videoueberwachung im DSGVO-Kontext (ersetzt Vor-DSGVO-Version). Schwerpunkte: Erforderlichkeits-Pruefung, Interessenabwaegung Art. 6 Abs. 1 lit. f, Hinweisbeschilderung Art. 13, Speicherdauer (regelmaessig 48-72h), neue Kapitel zu Tuer-Klingelkameras, Drohnen, Wildkameras, Dashcams, Nachbarschafts-Konflikte. Anhang: Muster-Hinweisschilder.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (Standard-Massstab fuer Video-Pruefverfahren).
+- **Audit-Anwendung**: Findings "Videoueberwachung ohne Hinweisschild" / "Speicherdauer > 72h ohne Begruendung" / "Kamera erfasst oeffentliche Verkehrsflaeche / Nachbar-Grundstueck" / "Tuerklingel-Cam mit Cloud-Speicher in Drittland" → Zitat.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_vü_dsk.pdf · BfDI-Mirror `SharedDocs/Downloads/DE/DSK/Orientierungshilfen/OH_Videoüberwachung-n-ö-Stellen.html`
+
+### DSK — Positionspapier "Datenuebermittlung im Asset-Deal" (11.09.2024)
+- **Tenor / Kern-Aussage**: Vor Vertragsabschluss (Due-Diligence-Phase) ist die Uebermittlung personenbezogener Daten an potentielle Erwerber GRUNDSAETZLICH UNZULAESSIG — pseudonymisiert/aggregiert ja, identifizierend nein. Mit Vertragsabschluss: Bestand-Vertraege koennen mit der Vertrags-Erfuellungs-Rechtsgrundlage uebergehen, sofern Drittpartei zustimmt; weiter Widerspruchs-Loesung mit 6-Wochen-Frist moeglich. Beschaeftigten-Daten unterliegen § 613a BGB / § 26 BDSG.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis. Bedeutung gross fuer M&A-Datenroom-Praxis.
+- **Audit-Anwendung**: Findings "Datenraum mit identifizierenden Kunden-/MA-Daten waehrend DD-Phase" / "Asset-Deal ohne Widerspruchs-Verfahren" / "fehlende Pseudonymisierung in Sales-Pipeline" → Zitat. Verbindet mit § 613a BGB.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/dskb/2024-09-11_Beschluss%20DSK_%20Asset_Deals.pdf · BfDI-Mirror `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/DSK_20240911-Positionspapier-Asset-Deals.html`
+
+### DSK — Beschluss "Verbrauchervorschriften ueber digitale Produkte im BGB" (24.11.2022)
+- **Tenor / Kern-Aussage**: Mit den §§ 327 ff. BGB (Umsetzung der Digital-Inhalte-Richtlinie EU 2019/770) ist erstmals geregelt, dass "Bezahlen-mit-Daten" einen Vertrag begruendet — die DSK weist auf das Spannungsverhaeltnis zur DSGVO-Einwilligungs-Freiheit (Art. 7 Abs. 4) hin und verlangt klare Trennung der Rechtsgrundlagen.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis.
+- **Audit-Anwendung**: Bei Findings zu "Bezahlen-mit-Daten"-Modellen / Werbe-Tracker-finanziertem Content → Zitat als Auslegungs-Hilfe; ergaenzt Pur-Abo-Beschluss 22.03.2023.
+- **Source**: BfDI-Mirror `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/104DSK_Beschluss-Verbrauchervorschriften.html`
+
+---
+
+## Cluster G — Data-Breach + Meldung
+
+### Status-Hinweis (kein eigener konsolidierter DSK-Beschluss)
+Der Standard fuer Data-Breach-Meldung nach Art. 33/34 DSGVO ergibt sich aus:
+- Art. 33 DSGVO (72h-Frist Aufsichts-Meldung)
+- Art. 34 DSGVO (Betroffenen-Benachrichtigung bei hohem Risiko)
+- EDSA-Guidelines 9/2022 zur Datenschutzverletzungs-Meldung (ersetzt WP29-Guidelines 250)
+- LfDI-spezifische Online-Meldeformulare
+
+Die DSK hat KEINEN eigenen konsolidierten Beschluss zu Art. 33 — die EDSA-Guidelines sind massgeblich. Aus Skill-Sicht: bei Breach-Findings auf EDSA-Guidelines 9/2022 + Art. 33/34 DSGVO direkt zitieren, nicht auf DSK.
+
+---
+
+## Cluster H — Standardisierung (SDM, DSFA-Liste, VVT, IT-Sicherheit)
+
+### DSK — Standard-Datenschutzmodell V3.0 (24.11.2022) / V3.1-Update (2024)
+- **Tenor / Kern-Aussage**: Methodisches Rahmenwerk, das DSGVO-Anforderungen in TOM uebersetzt — strukturiert nach 7 Schutzzielen: Datenminimierung, Verfuegbarkeit, Integritaet, Vertraulichkeit, Transparenz, Nichtverkettung, Intervenierbarkeit. Enthaelt Referenz-Massnahmen-Katalog mit modularen Bausteinen. V3.1 (2024) verbessert die KI-Bezuege.
+- **Status**: nicht-rechtsverbindlich (Methodik), aber DE-Standard fuer Aufsichts-konforme TOM-Dokumentation.
+- **Audit-Anwendung**: Findings "TOM-Dokumentation ohne SDM-Strukturierung" / "fehlender Schutzziel-Bezug" → Zitat als empfohlener Aufsichts-Standard. Komplementaer zu BSI-Grundschutz und ISO 27001.
+- **Source**: V3.0 https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/DSK/2022/2022-DSK_Standard-Datenschutzmodell-3-0.pdf · V3.1 https://www.datenschutzkonferenz-online.de/media/ah/SDM-Methode-V31.pdf
+
+### DSK-Kurzpapier Nr. 5 — Datenschutz-Folgenabschaetzung Art. 35 DSGVO (Stand 17.12.2018)
+- **Tenor / Kern-Aussage**: Definiert Vorgehen fuer DSFA: Schwellwert-Ermittlung (hohes Risiko? — siehe Muss-Liste), Verarbeitungs-Beschreibung, Erforderlichkeits- und Verhaeltnismaessigkeits-Pruefung, Risiko-Bewertung, Massnahmen, Konsultations-Pflicht (Art. 36) bei verbleibendem hohem Risiko nach Massnahmen.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis.
+- **Audit-Anwendung**: STANDARD-Zitation bei JEDEM DSFA-Befund. Findings "DSFA fehlt fuer Verarbeitung auf der Muss-Liste" / "DSFA ohne Konsultation trotz verbleibendem hohem Risiko" / "DSFA ohne dokumentierte Ueberpruefung nach 12 Monaten" → Zitat.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf
+
+### DSK-Muss-Liste — Verarbeitungsvorgaenge nach Art. 35 Abs. 4 DSGVO (Stand 17.10.2018, fortlaufend)
+- **Tenor / Kern-Aussage**: Konsolidierte Liste der Verarbeitungs-Typen, fuer die DSFA-Pflicht besteht (im nicht-oeffentlichen Bereich). Beispiele: KI-gestuetzte Profilierung, Mitarbeiter-Monitoring (incl. Whistleblowing-Hotlines), Health-Apps, Smart-Metering, gross-skalige Geolocation, biometrische Authentifizierung, Drohnen-Aufnahmen oeffentlicher Bereiche, Kunden-Scoring, gross-skalige Newsletter-Profilierung. Liste ist NICHT abschliessend.
+- **Status**: nicht-rechtsverbindlich (formal LfDI-Listen pro Bundesland, aber DSK-konsolidiert), Behörden-bindend in Praxis.
+- **Audit-Anwendung**: STANDARD-Pruefung bei jedem neuen Verarbeitungs-Typ → Match gegen Muss-Liste → DSFA-Pflicht-Folgerung. Findings: "Profiling-Use-Case ohne DSFA" / "Whistleblowing-System ohne DSFA" / "biometrische Zugangs-Kontrolle ohne DSFA" → Zitat.
+- **Source**: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf · https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/DSFA_Muss-Liste_fuer_den_nicht-oeffentlicher_Bereich_-_Stand_17.10.2018.pdf
+
+### DSK-Kurzpapier Nr. 1 — Verzeichnis von Verarbeitungstaetigkeiten Art. 30 DSGVO (Stand 17.12.2018)
+- **Tenor / Kern-Aussage**: VVT-Pflicht (Art. 30) gilt grundsaetzlich fuer alle Verantwortlichen. § 30 Abs. 5 DSGVO-Ausnahme (< 250 MA) ist in der Praxis fast wirkungslos, weil bei (a) regelmaessiger Verarbeitung, (b) Risiko fuer Betroffene, (c) sensitiven Daten die VVT-Pflicht trotzdem gilt. Mindest-Inhalte: Zweck, Datenkategorien, Empfaenger, Drittland-Uebermittlung, Loesch-Fristen, TOM-Beschreibung.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis (haeufiges Erst-Pruefungs-Item bei Aufsichts-Anfragen).
+- **Audit-Anwendung**: Findings "VVT fehlt" / "VVT ohne Drittland-Spalte" / "VVT ohne Loesch-Fristen pro Verfahren" / "VVT ohne TOM-Verweis" → Zitat. Erste Aufsichts-Frage bei jeder Pruefung.
+- **Source**: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf
+
+### DSK — Beschluss "Nichtanwendung TOM nach Art. 32 auf ausdruecklichen Wunsch Betroffener" (24.11.2021)
+- **Tenor / Kern-Aussage**: Die DSK stellt klar: Ein "Verzicht" Betroffener auf TOM (z. B. unverschluesselte E-Mail-Korrespondenz mit Behoerde / Anwalt) ist regelmaessig moeglich, aber nur unter strengen Voraussetzungen — informierte Erklaerung, Dokumentation, jederzeitiger Widerruf. TOM bleiben Pflicht des Verantwortlichen; der "Verzicht" ist eng auszulegen.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis.
+- **Audit-Anwendung**: Findings "Anwaltskanzlei mit standardmaessig unverschluesselter Mandanten-Mail" / "fehlende Dokumentation des Risiko-Hinweises an den Mandanten" → Zitat als Auslegungs-Hilfe.
+- **Source**: BfDI-Mirror `SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/102DSK_Nichtanwendung-TOM.html`
+
+### DSK — OH "Schutz personenbezogener Daten bei Uebermittlung per E-Mail" (16.06.2021)
+- **Tenor / Kern-Aussage**: E-Mail-Versand personenbezogener Daten erfordert je nach Risiko-Klasse: Transport-Verschluesselung (TLS) als Minimum, Inhalts-Verschluesselung (S/MIME, PGP) bei sensitiven Daten / hohem Risiko. Ende-zu-Ende-Verschluesselung ist Soll-Standard fuer Art-9-Daten. Fax ist nicht mehr DSGVO-konform.
+- **Status**: nicht-rechtsverbindlich, aber Behörden-bindend in Praxis.
+- **Audit-Anwendung**: Findings "Patientendaten / Gesundheitsdaten per unverschluesselter E-Mail" / "Anwaltskanzlei ohne S/MIME-Standard" / "Behoerde mit Fax-Versand" → Zitat. Verbindet mit Beschluss 24.11.2021.
+- **Source**: BfDI-Mirror `SharedDocs/Downloads/DE/DSK/Orientierungshilfen/OH_Daten-per-E-Mail.html`
+
+---
+
+## Anwendung im Skill-Output
+
+### Mapping Audit-Finding-Klasse → DSK-Authority-Layer
+
+| Finding-Klasse | DSK-Beschluss / OH / KP zur Zitation |
+|---|---|
+| M365-/Cloud-/SaaS-Adoption ohne Datenschutz-Konfiguration | A.1 (M365 24.11.2022), A.3 (Win10 26.11.2020), Cluster D (Drittland) |
+| Tracking / Cookies / Analytics ohne Consent | A.4 (OH Telemedien 2021), A.2 (GA-Beschluss), A.5 (Pur-Abo), Cluster E |
+| KI-/LLM-Einsatz ohne Datenschutz-Pruefung | B.10 (DSK-OH KI 06.05.2024) — STANDARD-Zitation |
+| Mitarbeiter-Monitoring / Beschaeftigten-KI / Profiling | B.7 + B.8 (Beschaeftigten-Forderung) + B.10 (KI-OH) + DSFA-Muss-Liste |
+| Whistleblowing-System ohne DSFA / unsauber dokumentiert | B.9 (Whistleblowing-OH 14.11.2018) + DSFA-Muss-Liste + KP 5 |
+| Auskunfts-Verzoegerung / unvollstaendige Auskunft | C.12 (KP 6 — STANDARD-Zitation) |
+| Bussgeld-Risiko-Einschaetzung in Empfehlung | C.13 (Bussgeld-Konzept 16.10.2019) + EuGH C-807/21 |
+| Drittland-Uebermittlung (USA / sonstige unsichere) | D.15 (Schrems-II-PM) + D.16 (DPF-Anwendungshinweise) |
+| Direktwerbung / E-Mail-Marketing | E.17 (OH Direktwerbung) |
+| Facebook-Fanpage / Social-Media-Pages | E.18 (Facebook-Kurzgutachten) + EuGH C-210/16 |
+| Gesundheits-App / DiGA / cloud-Health | F.19 (Gesundheits-App-Beschluss) + DSFA-Muss-Liste |
+| Patientendaten-Kommunikation per Messenger | F.20 (KH-Messenger-Whitepaper) |
+| Videoueberwachung (Privat / Unternehmen) | F.21 (OH-VÜ 04.09.2020) |
+| M&A / Asset-Deal / DD-Datenraum | F.22 (Asset-Deal-Positionspapier 11.09.2024) |
+| Data-Breach-Meldung | KEIN DSK-Beschluss — direkt Art. 33/34 DSGVO + EDSA-Guidelines 9/2022 |
+| TOM-Dokumentation / IT-Sicherheits-Standard | H.25 (SDM V3.x) + KP 18 (Risiko-Begriff) |
+| Fehlende DSFA / Schwellwert-Bewertung | H.26 (KP 5) + H.27 (Muss-Liste) |
+| Fehlendes / unvollstaendiges VVT | H.28 (KP 1) — STANDARD-Zitation |
+| TOM-"Verzicht" durch Betroffene | H.29 (Beschluss 24.11.2021) |
+| E-Mail-Versand sensitiver Daten unverschluesselt | H.30 (OH E-Mail 16.06.2021) |
+
+### Zitations-Schema im Skill-Output
+
+```
+Aufsichts-Linie der DSK ([Datum]) zu [Thema]: [Tenor-Kurz].
+→ Quelle: datenschutzkonferenz-online.de — [PDF-URL].
+
+Folgerung fuer den vorliegenden Audit-Befund:
+- [konkrete Konsequenz des DSK-Tenors fuer das auditierte Unternehmen]
+- Aufsichts-Risiko: Bussgeld nach Art. 83 DSGVO (Bemessung siehe Bussgeld-Konzept 16.10.2019)
+- Empfehlung: [konkrete Massnahme]
+```
+
+### Wichtige Negativ-Hinweise (was die DSK NICHT tut)
+
+- DSK ist KEIN Gericht — Beschluesse koennen vor VG/OVG/EuGH gekippt werden (Beispiel: Bussgeld-Konzept-Linie wurde in Teilen durch BVerwG/EuGH ergaenzt; vgl. EuGH C-807/21 Deutsche Wohnen).
+- DSK-Beschluesse haben KEINE direkte Bindungswirkung gegenueber Verantwortlichen — nur die Aufsichts-Behoerde, die einen Bescheid erlaesst, bindet (Art. 58 DSGVO).
+- DSK-Beschluesse sind in der Regel KONSENSUAL — einzelne LfDIs koennen abweichen (siehe TLfDI-Sonder-Position zum DPF-Anwendungshinweis 04.09.2023).
+- Bei EuGH-Entscheidungen, die einer DSK-Linie widersprechen, gilt der EuGH (Beispiel: EuGH-Schadensersatz-Linie ist enger als manche DSK-Linie zur "Erheblichkeit"-Schwelle — siehe `eu-eugh-dsgvo-schadensersatz.md`).
+
+---
+
+## NOT_VERIFIED (manueller Volltext-Check pflicht)
+
+- DSK-Stellungnahme 09.10.2024 zur KI-Bewertung (im Source-Brief erwaehnt, aber kein primaerer Treffer in der DSK-Beschluesse-Liste — moeglicherweise Verwechslung mit der OH KI 06.05.2024 oder dem Positionspapier zur KI-VO-Zustaendigkeit 03.05.2024).
+- DSK-Beschluss zum Hinweisgeberschutz HinSchG 2023 — die DSK hat 2023 KEINEN eigenstaendigen Beschluss "zu HinSchG" gefasst; massgeblich ist die OH Whistleblowing-Hotlines vom 14.11.2018 (s. B.9). Quelle-Brief enthielt diesen Punkt; ist in dieser Form nicht verifizierbar.
+- DSK-Beschluss zur Arbeitszeiterfassung 2024 — kein primaerer DSK-Beschluss verifizierbar; relevant ist BAG-Urteil 13.09.2022 (Az. 1 ABR 22/21) und EuGH C-55/18 zur Arbeitszeit-Erfassungs-Pflicht. DSK-Bezug auf "MA-Monitoring" allgemein bleibt ueber B.7/B.8 abdeckbar.
+- DSK-Hinweise zum Auskunftsanspruch 2023 (separates Update zu KP 6) — KP 6 ist Stand 17.12.2018; ein 2023er Update wurde nicht verifiziert. EDSB-Guidelines 01/2022 zur Auskunft sind die aktuellere Linie.
+- DSK-Beschluss zu Schadensersatz post-EuGH C-300/21 — kein eigenstaendiger DSK-Beschluss verifizierbar; direktes Zitat der EuGH-Linie (siehe `eu-eugh-dsgvo-schadensersatz.md`) ist klarer und valider.
+- DSK "Geolokalisierung" / "Online-Werbung" als eigene Beschluesse — abgedeckt durch OH Telemedien (A.4) und OH Direktwerbung (E.17); keine separaten Stand-Alone-Beschluesse zu diesen Begriffen verifizierbar.
+- DSK "KI im Beschaeftigtenkontext" als eigener Beschluss — abgedeckt durch B.10 (KI-OH 06.05.2024) + B.7/B.8 (Beschaeftigten-Forderungs-Linie); kein separater DSK-Beschluss zu Tier-1-Genauigkeit verifizierbar.
+
+---
+
+## Anhang — Provenance-Notizen
+
+- Primary-Source-Domains: `datenschutzkonferenz-online.de` (DSK eigene Webseite, gelegentlich ECONNREFUSED — dann ueber BfDI-Mirror), `bfdi.bund.de/SharedDocs/Downloads/DE/DSK/...` (BfDI-DSK-Mirror, sehr stabil).
+- Sekundary-Source-Domains (zur Tenor-Verifikation, nicht als Primaer-Zitation): `datenschutz-berlin.de`, `lfd.niedersachsen.de`, `lda.brandenburg.de`, `lda.bayern.de`, `datenschutzzentrum.de` (ULD), `cmshs-bloggt.de`, `dr-datenschutz.de`, `noerr.com`, `datenschutzticker.de`, `datenschutz-praxis.de`.
+- Generierungs-Zeitstempel: 2026-05-05.
+- Naechste Wartung: alle 6-12 Monate, oder unmittelbar nach jeder neuen DSK-Sitzung mit thematisch einschlaegigem Beschluss. Aktuell: 109. DSK Q1/2025 + 110. DSK Q2/2025 in CMS noch nicht vollstaendig erfasst — bei Naechst-Update einbeziehen.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/AGG/audit-relevance.md

@@ -0,0 +1,76 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: AGG Audit-Relevance — Diskriminierungs-Schutz, KI-Bewerber-Screening, B2C-Algorithmen.
+---
+
+# AGG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei Sites/SaaS für:
+- HR-Tools / ATS / Bewerber-Tracking
+- KI-/AI-basiertes Recruiting (CV-Parser, Pre-Screening)
+- Job-Boards / Stellenausschreibungs-Plattformen
+- E-Commerce mit Differential-Pricing
+- Versicherungs-Tarif-Engines
+- Kredit-/Bonitäts-Scoring
+- Wohnraum-Plattformen (Vermietung)
+
+## Trigger im Code/UI
+
+- **Stellenausschreibung mit „junges Team"** → § 11 (Alter) + § 1
+- **Stellenausschreibung „Muttersprachler" ohne sachlichen Grund** → § 11 (ethnische Herkunft)
+- **CV-Parser bevorzugt bestimmte Universitäten** mit demografischer Skew → § 3 Abs. 2 (mittelbar)
+- **Differential-Pricing nach Postleitzahl** mit Korrelation Migrationshintergrund → § 19 + § 3 Abs. 2
+- **Kredit-Scoring blackbox** ohne Erklärbarkeit → § 22 + AI Act Annex III
+- **Algorithmus, der Frauen-Daten unterrepräsentiert** → § 3 Abs. 2
+
+## Verstoss-Klassen + Konsequenz
+
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Stellenausschreibung diskriminierend | § 11 + § 7 + § 15 | bis 3 Monatsgehälter (§ 15 Abs. 2) | § 15 Abs. 2 AGG |
+| Beschäftigungs-Diskriminierung | § 7 + § 15 | materieller Schaden + Entschädigung | § 15 AGG |
+| B2C-Massengeschäft-Diskriminierung | § 19 + § 21 | Beseitigung + Schadensersatz + Entschädigung | § 21 AGG |
+| Versicherung-/Bank-Diskriminierung | § 19 + § 21 | wie oben | § 21 AGG |
+
+**Beweislast-Hebel**: § 22 verschiebt Beweislast bei Indizien. Klägerin muss nur „Indizien" zeigen (Mail, Stellentext, Statistik) — Beklagte muss VOLL beweisen, dass keine Diskriminierung vorlag.
+
+## Top-Az.
+
+- **BAG 8 AZR 638/14** — Stellenausschreibung „junges, dynamisches Team" als Indiz § 22
+- **BAG 8 AZR 285/16** — Geburtsdatum-Anforderung in Bewerbung
+- **EuGH C-415/10 Meister** — Indizien-Rechtsprechung
+- **EuGH C-188/15 Bougnaoui** — Religion / Kopftuch
+- **BVerfG 1 BvR 916/15 (2018)** — „dritte Geschlechtsoption" + AGG-Bezug
+- **BAG 8 AZR 21/19** — KI-/Algorithmus-Recruiting Indiz-Rechtsprechung wird sich entwickeln (kein abschließendes Az.)
+
+## Cross-Reference (zu anderen Skill-Files)
+
+- `references/gesetze/EU-Verordnungen/AI-Act-2024-1689/` Annex III Nr. 4 (Beschäftigung als Hochrisiko-KI)
+- `references/dsgvo.md` Art. 22 (automatisierte Entscheidung) + Art. 9 (besondere Kategorien)
+- `references/gesetze/BetrVG/` § 95 (Auswahlrichtlinien) — KI-Tool kann mitbestimmungspflichtig sein
+- `references/gesetze/BGB/` für allgemeines Diskriminierungsrecht in Verträgen
+- `references/audit-patterns.md` Phase 5f für HR-Audit-Surface
+
+## KI-Bewerber-Screening — kombinierte Compliance
+
+Wenn Operator KI-System für Recruiting einsetzt:
+1. **AI Act**: Hochrisiko-System (Annex III Nr. 4) — Pflichten Art. 9-15 ab 02.08.2026 vollständig
+2. **AGG**: § 7 + § 22 Beweislastumkehr — Indiz reicht zur Verschiebung
+3. **DSGVO Art. 22**: automatisierte Einzel-Entscheidung verboten ohne ausdrückliche Einwilligung / Vertragserforderlichkeit / gesetzliche Pflicht
+4. **BetrVG § 87 Abs. 1 Nr. 6**: technische Einrichtung-Mitbestimmung
+5. **BetrVG § 95**: Auswahlrichtlinien-Mitbestimmung
+
+Operator muss alle 5 Spuren erfüllen. Absicherung: Bias-Test + Audit-Log + menschliche Letztentscheidung-Pflicht + Mitarbeiter-Vertrags-Klausel.
+
+## Praktischer Audit-Checklist
+
+- [ ] Stellenanzeigen-Generator filtert auf AGG-Risiko-Wortliste
+- [ ] „m/w/d"-Suffix automatisch eingefügt
+- [ ] CV-Parser-Bias-Test dokumentiert
+- [ ] Algorithmus-Erklärbarkeit (XAI) für Entscheidung
+- [ ] Mensch-im-Loop bei finaler Auswahl
+- [ ] AGG-Schulung für Recruiter / People-Ops
+- [ ] § 12 AGG: Schutz vor Belästigung im Betrieb (interne Whistleblower-Kanal)

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/AGG/paragraphs.md

@@ -0,0 +1,115 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/agg/
+last-checked: 2026-05-05
+purpose: AGG (Allgemeines Gleichbehandlungsgesetz) — Diskriminierungsschutz, Beweislast-Umkehr, Stellenausschreibungs-Pflicht.
+---
+
+# AGG — Kern-Paragraphen
+
+> Allgemeines Gleichbehandlungsgesetz (AGG), Stammgesetz 2006 (Umsetzung RL 2000/43/EG, 2000/78/EG, 2002/73/EG, 2004/113/EG).
+> Volltext: https://www.gesetze-im-internet.de/agg/
+
+## § 1 — Ziel
+
+**Wortlaut**: Ziel des Gesetzes ist es, Benachteiligungen aus Gründen
+- der **Rasse / ethnischen Herkunft**,
+- des **Geschlechts**,
+- der **Religion oder Weltanschauung**,
+- einer **Behinderung**,
+- des **Alters** oder
+- der **sexuellen Identität**
+
+zu verhindern oder zu beseitigen.
+
+**Audit-Relevanz**: 6 geschützte Merkmale. Soziale Herkunft + Vermögen NICHT geschützt — anders als z.B. spanisches Recht.
+
+---
+
+## § 2 — Anwendungsbereich
+
+**Wortlaut (Kern)**: AGG gilt für Diskriminierung bei
+- **Nr. 1**: Bedingungen für den Zugang zu unselbständiger + selbständiger Erwerbstätigkeit (Auswahlkriterien, Stellenausschreibungen),
+- **Nr. 2**: Beschäftigungs- + Arbeitsbedingungen (Arbeitsentgelt, Beförderungen, Kündigung),
+- **Nr. 7**: Sozialschutz / Sozialvergünstigungen,
+- **Nr. 8**: Bildung,
+- **Nr. 9**: **Zugang zu + Versorgung mit Gütern und Dienstleistungen, die der Öffentlichkeit zur Verfügung stehen** (incl. Wohnraum, Versicherungen).
+
+**§ 2 Abs. 4**: Bei Kündigungen gelten ausschließlich die Bestimmungen des Kündigungsschutzes (KSchG) — § 22 AGG-Beweislastumkehr greift NICHT bei Kündigung.
+
+**Audit-Relevanz**: § 2 Abs. 1 Nr. 9 ist „B2C-Diskriminierungs-Schutz" — relevant für E-Commerce, Reisebuchung, Versicherungen. KI-Bewerber-Screening triggert § 2 Nr. 1 (Zugang zu Beschäftigung) → AI Act Annex III + AGG §§ 7 + 22.
+
+---
+
+## § 3 — Begriffsbestimmungen
+
+**Wortlaut (Kern)**:
+- **Abs. 1 — Unmittelbare Benachteiligung**: weniger günstige Behandlung wegen geschütztem Merkmal.
+- **Abs. 2 — Mittelbare Benachteiligung**: scheinbar neutrale Vorschriften / Praktiken, die Personen wegen geschütztem Merkmal in besonderer Weise benachteiligen können (z.B. Arbeitszeit-Modelle, die de facto nur Frauen treffen).
+- **Abs. 3 — Belästigung**: unerwünschte Verhaltensweisen, die Würde verletzen + entwürdigendes Umfeld schaffen.
+- **Abs. 4 — Sexuelle Belästigung**: spezifische Form Belästigung mit sexuellem Bezug.
+
+---
+
+## § 7 — Benachteiligungsverbot
+
+**Wortlaut (Kern, Abs. 1)**: Beschäftigte dürfen nicht wegen eines in § 1 genannten Grundes benachteiligt werden; dies gilt auch, wenn die Person das Vorliegen eines solchen Grundes bei der Benachteiligung nur annimmt (vermeintliche Diskriminierung).
+
+**§ 7 Abs. 2**: Vereinbarungen, die gegen § 7 Abs. 1 verstoßen, sind unwirksam.
+
+**§ 7 Abs. 3**: Verstoß ist Vertragsverletzung.
+
+**Audit-Relevanz**: Anker für KI-Bewerber-Screening, Bonus-Algorithmen, Arbeitsplan-Verteilung.
+
+---
+
+## § 11 — Stellenausschreibung
+
+**Wortlaut**: Eine Beschäftigung darf nicht unter Verstoß gegen § 7 Abs. 1 (i.V.m. § 1) ausgeschrieben werden.
+
+**Audit-Relevanz**: hart-codierte Anker. Job-Boards / HR-Tools müssen Filter / Genderless-Templates anbieten („m/w/d", neutrale Sprache, keine Alters-Anforderungen ohne sachlichen Grund).
+
+---
+
+## § 15 — Entschädigung + Schadensersatz
+
+**Wortlaut (Kern)**:
+- **Abs. 1**: Materieller Schadensersatz bei Pflichtverletzung (verschuldensabhängig).
+- **Abs. 2**: Immaterielle Entschädigung — angemessen, und bei Nicht-Einstellung auf höchstens **drei Monatsgehälter** begrenzt (wenn Bewerber bei diskriminierungsfreier Auswahl auch nicht eingestellt worden wäre).
+- **Abs. 4**: Frist von **zwei Monaten** nach Kenntnis-Erlangung (Ausschluss-Frist).
+
+**Audit-Relevanz**: 3-Monatsgehalt-Cap = harte Range bei Stellenausschreibung-Verstößen.
+
+---
+
+## § 19 — Zivilrechtliches Benachteiligungsverbot (B2C)
+
+**Wortlaut (Kern, Abs. 1)**: Eine Benachteiligung aus Gründen der Rasse oder wegen der ethnischen Herkunft, wegen des Geschlechts, der Religion, einer Behinderung, des Alters oder der sexuellen Identität bei der Begründung, Durchführung und Beendigung zivilrechtlicher Schuldverhältnisse, die
+
+- **Nr. 1**: typischerweise ohne Ansehen der Person zu vergleichbaren Bedingungen in einer Vielzahl von Fällen zustande kommen (Massengeschäfte) oder
+- **Nr. 2**: bei privatrechtlichen Versicherungen,
+
+ist unzulässig.
+
+**Audit-Relevanz**: relevant für E-Commerce-Algorithmen (Differential-Pricing, Refund-Decisions), Krediten, Versicherungs-Tarife. Hartes Verbot.
+
+---
+
+## § 21 — Ansprüche bei zivilrechtlicher Benachteiligung
+
+**Wortlaut (Kern)**: Anspruch auf Beseitigung + Unterlassen + Schadensersatz / Entschädigung.
+
+---
+
+## § 22 — Beweislast (Beweislastumkehr)
+
+**Wortlaut**: Wenn im Streitfall die eine Partei **Indizien beweist**, die eine Benachteiligung wegen eines in § 1 genannten Grundes vermuten lassen, trägt die andere Partei die Beweislast dafür, dass kein Verstoß gegen die Bestimmungen zum Schutz vor Benachteiligung vorgelegen hat.
+
+**Audit-Relevanz**: härtester Hebel der Klägerseite. „Indizien" reichen schon — z.B. statistische Auffälligkeiten in HR-Daten, Wortlaut von Stellenanzeige, Mail-Texte. Arbeitgeber muss DANN Volltext-Beweis für Sachgrund vorlegen.
+
+---
+
+## § 17 — Verbandsklagerecht
+
+**Wortlaut (Kern)**: Antidiskriminierungs-Verbände + Betriebsräte können in bestimmten Fällen klagen.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/AMG/audit-relevance.md

@@ -0,0 +1,58 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: AMG Audit-Relevance — Arzneimittel-Verkehr / Zulassung.
+---
+
+# AMG — Audit-Relevance
+
+## Auto-Loading-Trigger
+
+Bei Sites mit:
+- Online-Apotheken / Versandapotheken
+- E-Commerce mit „Supplements / Vital-Mitteln" mit Heilversprechen
+- CBD-/Cannabis-Produkten mit Krankheitsbezug
+- Marketplace-Modell für Heilprodukte
+- Influencer-Werbung für Health-Produkte mit Indikationen
+
+## Trigger im Code/UI
+
+- **Heilversprechen + Stoff** ohne Zulassungsnachweis → § 21 Verstoß (Funktions-Arzneimittel)
+- **Online-Verkauf Rx-Mittel** ohne Versanderlaubnis → § 43 + § 95
+- **Rabatt-Coupons** für DE-Rx-Mittel von DE-Apotheke → § 78 / AMPreisV
+- **Marketplace ohne Hersteller-Prüfung** für Apothekenpflicht-Produkte → § 95 (Beihilfe-Risiko Plattform)
+- **Compassionate-Use-Vermarktung** über öffentliche Site → § 21 Abs. 2 Ausnahme greift NICHT bei Werbung
+
+## Verstoss-Klassen + €-Range
+
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Nicht zugelassenes Arzneimittel im Verkehr | § 21 + § 95 | Freiheitsstrafe bis 3 Jahre / Geldstrafe; bes. schwerer Fall 1-10 Jahre | § 95 AMG |
+| Apothekenpflicht-Verstoß | § 43 + § 95 | Freiheitsstrafe bis 3 Jahre / Geldstrafe | § 95 AMG |
+| Verschreibungspflicht-Verstoß | § 48 + § 96 | Freiheitsstrafe bis 1 Jahr / Geldstrafe | § 96 AMG |
+| Werbe-/Kennzeichnungs-OwiG | § 97 | bis 25.000 € (Standard) / bis 50.000 € (benannte Fälle) | § 97 AMG |
+| Preisbindung Rx (DE-Apotheke) | § 78 + AMPreisV | Wettbewerbsverstoß + UWG-Abmahnung | § 78 AMG |
+
+## Top-Az.
+
+- **EuGH C-148/15** „Deutsche Parkinson Vereinigung" (19.10.2016) — ausländische Versandapotheken nicht an DE-Rx-Preisbindung gebunden
+- **BGH I ZR 26/14** „Marketplace-Verantwortung" — Plattform-Prüfpflicht für Apothekenpflicht-Produkte
+- **BGH I ZR 95/14** „MagForce" — Funktions-Arzneimittel-Abgrenzung zu Medizinprodukt
+- **BGH I ZR 245/15** „CBD-Hanf-Tee" — Funktions-Arzneimittel-Test bei pflanzlichen Produkten
+
+## Cross-Reference (zu anderen Skill-Files)
+
+- `references/gesetze/HWG/` für Werbung über zugelassene Arzneimittel
+- `references/gesetze/MPDG/` für Medizinprodukt-Abgrenzung
+- `references/gesetze/LFGB/` für Lebensmittel-Abgrenzung (Nahrungsergänzungsmittel)
+- `references/gesetze/UWG/` § 3a (Rechtsbruch über AMG) — Wettbewerber-Abmahnung möglich
+
+## Sektor-Abgrenzung
+
+| Produkt | Maßgebliches Recht |
+|---|---|
+| Fertigarzneimittel, Indikation laut Beipackzettel | AMG (zugelassen) |
+| Wirkstoff + Heilversprechen, ohne Zulassung | AMG-Verstoß § 21 |
+| CE-Mark-Produkt (Hardware/Software) mit medizinischer Zweckbestimmung | MPDG (NICHT AMG) |
+| Lebensmittel ohne Heilversprechen | LFGB |
+| Lebensmittel mit Heilversprechen → Funktions-Arzneimittel-Risiko | AMG (BGH-Maßstab) |