npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.2 - Mend

@aegis-scan/skills 0.5.0 → 0.5.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (345) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/DiGAV/audit-relevance.md ADDED Viewed

@@ -0,0 +1,65 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: DiGAV Audit-Relevance — Health-App / DiGA-Listing-Compliance.
+---
+# DiGAV — Audit-Relevance
+## Auto-Loading-Trigger
+Bei JEDER App, die:
+- DiGA-Listing beim BfArM beantragt hat oder gelistet ist
+- als „App auf Rezept" beworben wird
+- per § 139e SGB V Erstattung sucht
+- BSI-TR-03161-Zertifikat anstrebt
+## Trigger im Code/UI
+- **US-Cloud-Hosting** (AWS-US-East, Azure-US, GCP-US ohne EU-Region) → § 4 Datenschutz-Konflikt
+- **AI-Provider ohne TIA** (OpenAI direct, Claude direct ohne EU-Region) → § 4 + DSGVO-Schrems-II-Risiko
+- **MD5/SHA-1-Hashes** im Code → § 4a + BSI-TR-03161 fail
+- **Plain-HTTP-Endpoints** im API-Layer → BSI-TR-03161 fail
+- **Fehlendes 2FA-Optionen** für Patienten → BSI-TR-03161 fail
+- **Werbe-Cookies / Marketing-Pixel** in App → § 4 (DiGA-Daten dürfen NICHT zu Werbung)
+- **Fehlendes Datenexport-Feature** (FHIR/HL7) → § 5
+- **AGB ohne klare Sprache** → § 6 + UWG § 5
+## Verstoss-Klassen + Konsequenzen
+| Verstoss | § | Konsequenz | Quelle |
+|---|---|---|---|
+| Datenschutz-Verstoß | § 4 | Streichung aus DiGA-Verzeichnis + DSGVO-Bußgeld bis 4% Umsatz | BfArM-Bekanntmachung + DSGVO Art. 83 |
+| BSI-TR-03161-Fehler | § 4a | Ablehnung Antrag / Streichung Verzeichnis | DiGAV § 4a |
+| Sicherheitsmangel ungemeldet | § 18 | Streichung Verzeichnis | DiGAV § 18 |
+| Werbung mit DiGA-Daten | § 4 | Streichung Verzeichnis + BfArM-Bußgeld + DSGVO-Bußgeld | DiGAV + DSGVO |
+DiGAV-direkte Bußgelder gibt es nicht — aber Streichung aus Verzeichnis = sofortiger Erstattungs-Stopp = wirtschaftlicher Existenz-Risiko.
+## Top-Az. / Verwaltungs-Anker
+- **BfArM-DiGA-Leitfaden** (https://www.bfarm.de/diga) — verbindliche Auslegung der DiGAV-Anforderungen
+- **BSI TR-03161 v1.0+** — technische Sicherheitsrichtlinie (Pflicht ab 01.01.2025)
+- **BfArM Tätigkeitsbericht 2023** — Streichungen wegen Datenschutz-Verstößen dokumentiert
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/MPDG/` für CE-Mark + MDR-Klassifizierung (Vorausetzung DiGA-Antrag)
+- `references/gesetze/HWG/` für Werbung über DiGA (HWG voll anwendbar)
+- `references/gesetze/BDSG/` für DSGVO-Umsetzung Health-Daten
+- `references/dsgvo.md` Art. 9 (Health-Daten = besondere Kategorie)
+- `references/audit-patterns.md` Phase 5h für Health-App-Audit-Surface
+## Praktischer Audit-Checklist (Code + Infra)
+- [ ] EU-only Hosting (Auftragsverarbeiter-Liste prüfen)
+- [ ] TLS 1.3 + Cipher-Whitelist
+- [ ] Keine MD5/SHA-1 in Crypto-Layer
+- [ ] 2FA-Option für Patienten
+- [ ] AVV mit allen Auftragsverarbeitern
+- [ ] FHIR/HL7-Export-Endpoint
+- [ ] Pen-Test-Bericht ≤ 12 Monate
+- [ ] BSI-TR-03161-Zertifikat (ab 01.01.2025 Pflicht)
+- [ ] DSE in deutscher Sprache + barrierefrei
+- [ ] Keine Werbe-/Marketing-Cookies
+- [ ] DSFA für Health-Daten-Verarbeitung (DSGVO Art. 35)

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/DiGAV/paragraphs.md ADDED Viewed

@@ -0,0 +1,102 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/digav/
+last-checked: 2026-05-05
+purpose: DiGAV (Digitale-Gesundheitsanwendungen-Verordnung) — DE-spezifische Anforderungen für DiGA-Listung im BfArM-Verzeichnis (DVG-Erstattungsweg).
+---
+# DiGAV — Kern-Paragraphen
+> Digitale-Gesundheitsanwendungen-Verordnung (DiGAV).
+> Volltext: https://www.gesetze-im-internet.de/digav/
+> Rechtsbasis: § 139e SGB V (DiGA-Listung); ergänzt MDR + MPDG.
+## § 1 — Anwendungsbereich
+**Wortlaut (Kern)**: DiGAV gilt für digitale Gesundheitsanwendungen (DiGA) niedriger Risikoklasse (MDR Klasse I oder IIa), die zur Aufnahme in das DiGA-Verzeichnis nach § 139e SGB V beantragt sind, sowie für deren Hersteller.
+**Audit-Relevanz**: trigger nur, wenn DiGA-Listung beim BfArM angestrebt wird. Apps, die nicht Erstattungsweg gehen, brauchen DiGAV nicht — aber MDR/MPDG bleiben.
+---
+## § 3 — Anforderungen an Sicherheit, Funktionstauglichkeit, Qualität
+**Wortlaut (Kern)**: DiGA müssen den allgemein anerkannten Stand der Technik einhalten — insb. zu IT-Sicherheit, Datenschutz, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung Leistungserbringer, Qualität der medizinischen Inhalte, Patientensicherheit.
+**Audit-Relevanz**: trigger für Penetrationstests + ISO 27001-Maßnahmen + Krypto-Auditing.
+---
+## § 4 — Datenschutz
+**Wortlaut (Kern)**: DiGA-Hersteller müssen DSGVO-Konformität nachweisen, insb.:
+- Art. 5, 6, 9 DSGVO bei Health-Daten,
+- Daten dürfen NICHT zu Werbe-/Marketing-Zwecken verwendet werden,
+- Verarbeitung durch Auftragsverarbeiter nur in EU/EWR oder mit Angemessenheitsbeschluss (vor allem KEIN US-Cloud ohne TIA + DPF-Konformität),
+- Nutzer-Einwilligung muss ausdrücklich + informiert sein.
+**Audit-Relevanz**: HARTE Beschränkung — US-AI-Provider ohne DPF + TIA = DiGAV-Hindernis. Auch keine Werbung „auf der Basis von" DiGA-Daten.
+---
+## § 4a — Datensicherheit (Pflicht-Update seit 01.01.2025)
+**Wortlaut (Kern)**: DiGA müssen ab 01.01.2025 ein Zertifikat nach **BSI TR-03161** vorweisen (Sicherheit für eHealth-Anwendungen). Vorab-Anforderungen: Penetrationstest + Schwachstellen-Management.
+**Audit-Relevanz**: härtester technischer Nachweis. BSI-TR-03161 verlangt: TLS 1.3, sichere Authentifizierung (FIDO2/Smart-Cards), Crypto-Hygiene (keine SHA-1, MD5), regelmäßige Audits.
+---
+## § 5 — Interoperabilität
+**Wortlaut (Kern)**: DiGA müssen anerkannte Schnittstellen + Standards (FHIR, IHE-Profile) unterstützen für:
+- Datenexport durch Versicherten (in standardisiertem Format),
+- Anbindung an ePA (elektronische Patientenakte) wenn relevant,
+- Schnittstellen zu zugelassenen Medizingeräten / Wearables.
+**Audit-Relevanz**: trigger für FHIR-/HL7-Konformität + Datenexport-Funktion in App.
+---
+## § 6 — Verbraucherschutz
+**Wortlaut (Kern)**: DiGA müssen verbraucherfreundliche Schnittstellen + verständliche Sprache + transparente Werbe-Hinweise + faire Vertragsbedingungen.
+**Audit-Relevanz**: AGB-Prüfung + Werbe-Hinweise (Cross-Ref HWG § 11 für Testimonials).
+---
+## §§ 8–13 — Nachweise positiver Versorgungseffekte
+**Wortlaut (Kern)**: Antragsteller muss positive Versorgungseffekte nachweisen über vergleichende Studie (RCT bevorzugt). Bei vorläufiger Aufnahme (12 Monate erstreckbar) reichen plausible Hinweise; in Erprobungsphase Studie bis BfArM-Entscheidung.
+**Audit-Relevanz**: nicht primär Audit-Surface — relevant für DiGA-Antragstellung-Compliance.
+---
+## §§ 14–17 — Antrags- und Verzeichnis-Verfahren
+**Wortlaut (Kern)**: BfArM prüft DiGA-Aufnahme-Antrag innerhalb 3 Monaten. Hersteller setzt Preis im 1. Jahr selbst; danach Verhandlung mit GKV-Spitzenverband. Listung im DiGA-Verzeichnis macht App erstattungsfähig (Verschreibung durch Arzt → Krankenkasse zahlt).
+---
+## § 18 — Pflichten zur Aktualität
+**Wortlaut (Kern)**: Hersteller muss BfArM unverzüglich melden bei: Sicherheitsproblemen, Update-Versionen mit veränderter Funktion, Auftragsverarbeiter-Wechseln, Hosting-Standort-Änderung.
+**Audit-Relevanz**: Change-Management-Pflicht. Bei US-Migration ohne BfArM-Notification → DiGAV-Verstoß → Risiko Streichung aus Verzeichnis.
+---
+## Anlage 1 — Detaillierte Anforderungs-Liste
+**Wortlaut (Kern)**: Anlage 1 listet 70+ Pflicht-Anforderungen, u.a.:
+- Crypto: TLS 1.2+ (TLS 1.3 empfohlen), keine MD5/SHA-1,
+- Authentifizierung: 2FA für Patient möglich, mind. Passwort + Sicherung,
+- Logging: nachvollziehbare Audit-Logs,
+- Backup-Konzept,
+- Notfall-Kommunikations-Plan bei Datenpanne,
+- Penetrationstest mind. jährlich.
+**Audit-Relevanz**: Goldstandard-Checkliste — übertragbar auch auf nicht-DiGA-Health-Apps als Best-Practice.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/ElektroG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,66 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: ElektroG Audit-Relevance — E-Commerce-Pflichten Hersteller, Marketplace, Rücknahme.
+---
+# ElektroG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei Sites mit Verkauf an DE-Endkunden:
+- Smart-Devices / IoT
+- Wearables / Smart-Watches / Fitness-Tracker
+- Smart-Home / Beleuchtungs-Mittel
+- Power-Banks / Mobile-Akkus
+- Spielzeug-mit-Strom (Drohnen, RC-Cars, Elektro-Roller)
+- Computer / Mobile-Telephone / Headphones
+- Marketplace-Operator
+- Refurbished-Electronics-Shop
+## Trigger im Code/UI / Doku
+- **Fehlende EAR-WEEE-Registrierungsnummer** in Impressum / Footer → § 6
+- **Marketplace ohne Verkäufer-EAR-Verifikation** → § 6 Abs. 7
+- **Online-Shop > 400 qm Lager ohne Rücknahme-Hinweis** im Checkout → § 17
+- **Produktbeschreibung ohne WEEE-Symbol-Information** → § 18
+- **Versand ohne Retoure-Label-Option** → § 17 Abs. 2
+- **Rücknahme nur bei 1:1-Tausch** ohne 0:1-Option für ≤ 25 cm → § 17 Abs. 1 Nr. 2
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| EAR-Registrierung fehlt | § 6 + § 29 | bis 100.000 € | § 29 Abs. 2 ElektroG |
+| Garantie-Hinterlegung fehlt | § 9 + § 29 | bis 100.000 € | § 29 Abs. 2 ElektroG |
+| Rücknahme-Pflicht-Verstoß | § 17 + § 29 | bis 100.000 € | § 29 Abs. 2 ElektroG |
+| Informations-Pflicht-Verstoß | § 18 + § 29 | bis 10.000 € | § 29 Abs. 2 ElektroG |
+| Marketplace-Verstoß | § 6 Abs. 7 + § 29 | bis 100.000 € | § 29 Abs. 2 ElektroG |
+UWG-§-3a-Abmahnung-Risiko: Verbraucherzentralen + Wettbewerber sehr aktiv (typische Streitwerte 5.000-25.000 €).
+## Top-Az.
+- **BGH I ZR 153/16** „Eldis" — Pflicht zur Rücknahme klargestellt
+- **BGH I ZR 91/13** — WEEE-Hinweis als Marktverhaltensregelung (UWG § 3a)
+- **OLG Köln 6 U 138/22** — Marketplace-Verantwortung
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/VerpackG/` analoge Marketplace-Verifikations-Pflicht für Verpackungen
+- `references/gesetze/UWG/audit-relevance.md` § 3a Rechtsbruch
+- `references/gesetze/BattG/` Batteriegesetz (parallele Pflichten für Akkus)
+- `references/gesetze/EU-Verordnungen/Battery-VO-2023-1542/` ab 18.08.2025 Pflichten
+- `references/audit-patterns.md` Phase 6 für Compliance-Doku
+## Praktischer Audit-Checklist
+- [ ] EAR-WEEE-Reg-Nummer in Impressum / Footer / AGB
+- [ ] WEEE-Symbol auf Verpackung + Geräte
+- [ ] Hersteller-Kennzeichnung gem. § 7
+- [ ] Garantie-Hinterlegung bei Stiftung EAR (Bürgschaft)
+- [ ] Rücknahme-Hinweis in Checkout + Produkt-Detailseite (bei ≥ 400 qm)
+- [ ] Retoure-Label für Online-Rücknahme
+- [ ] Informations-Page über getrennte Sammlung + Schadstoff-Effekte
+- [ ] Marketplace: EAR-Verifikations-API für Verkäufer-Onboarding
+- [ ] Refurbished-Geräte: separate Klärung Erst-Inverkehrbringer-Status

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/ElektroG/paragraphs.md ADDED Viewed

@@ -0,0 +1,108 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/elektrog_2015/
+last-checked: 2026-05-05
+purpose: ElektroG (Elektro-/Elektronikgerätegesetz) — Hersteller-Registrierung Stiftung EAR, Rücknahme-Pflichten, Marketplace-Verantwortung. ElektroG3 gilt seit 01.01.2022; weitere Pflichten ab 01.01.2023.
+---
+# ElektroG — Kern-Paragraphen
+> Elektro- und Elektronikgerätegesetz (ElektroG3 seit 2022).
+> Volltext: https://www.gesetze-im-internet.de/elektrog_2015/
+> EU-Hintergrund: WEEE-RL 2012/19/EU, RoHS 2011/65/EU.
+## § 1 — Zweck
+**Wortlaut (Kern)**: Verringerung Abfallaufkommen + Schadstoff-Eintrag aus Elektro-Altgeräten; getrennte Erfassung; Förderung Wiederverwendung; Umsetzung WEEE-RL.
+---
+## § 3 — Begriffsbestimmungen
+**Wortlaut (Kern)**:
+- **Elektro-/Elektronikgeräte** = Geräte, die für Betrieb mit elektrischem Strom oder elektromagnetischen Feldern bestimmt sind (Spannung ≤ 1.000 V AC / ≤ 1.500 V DC),
+- **Hersteller** = Erstinverkehrbringer in DE (auch Importeur, Eigenmarke-Vertreiber unter eigener Marke),
+- **Vertreiber** = Letztverkäufer an private Haushalte oder gewerbl. Endkunden.
+**Audit-Relevanz**: jede Smart-Devices/IoT-/Wearable-/Smart-Home-Site fällt darunter. Auch Power-Banks + Beleuchtungs-Mittel + Spielzeug-mit-Strom.
+---
+## § 6 — Registrierungs-Pflicht
+**Wortlaut (Kern, Abs. 1)**: Hersteller müssen sich VOR dem ersten Inverkehrbringen elektrischer Geräte bei der Stiftung Elektro-Altgeräte-Register (Stiftung **EAR**) für jede Geräte-Art registrieren lassen.
+**§ 6 Abs. 2 — Ausstattung**:
+- Hersteller-Marke,
+- Geräte-Art (z.B. Wärmeüberträger, Bildschirme, Leuchten, Großgeräte > 50 cm, Kleingeräte ≤ 50 cm, IT/TK-Kleingeräte ≤ 50 cm),
+- Garantie für Finanzierung Entsorgung („insolvenzsicher"),
+- Vertretungsbefugte Person.
+**§ 6 Abs. 6 — Vertriebs-Verbot bei Nicht-Registrierung**: Wer nicht registriert ist, darf Geräte NICHT vertreiben.
+**§ 6 Abs. 7 — Marketplace-Pflicht (seit 01.01.2023)**: Betreiber elektronischer Marktplätze (Amazon, eBay, Otto-Marketplace, etc.) müssen prüfen, ob ihre Verkäufer EAR-Registrierungs-Nummer haben + dürfen nicht-registrierte Verkäufer nicht zulassen. Auch Fulfillment-Dienstleister (FBA-Modell) treffen die Pflicht.
+**Audit-Relevanz**: harter Gate-Faktor. WEEE-Reg-Nummer muss in AGB / Impressum / Footer + auf Geräte / Verpackung sichtbar sein.
+---
+## § 7 — Kennzeichnung Hersteller
+**Wortlaut (Kern)**: Geräte müssen mit Hersteller-Kennung + WEEE-Symbol (durchgestrichene Mülltonne) gekennzeichnet sein.
+---
+## § 9 — Garantie-Hinterlegung
+**Wortlaut (Kern)**: Hersteller von B2C-Geräten muss Garantie für Finanzierung Entsorgung hinterlegen — i.d.R. Bürgschaft / Sicherheit gegenüber Stiftung EAR.
+---
+## § 17 — Rücknahme-Pflicht
+**Wortlaut (Kern, Abs. 1)**: Vertreiber mit einer **Verkaufsfläche von mindestens 400 Quadratmetern** für Elektrogeräte (oder Online-Shops mit Lager-/Versandflächen ≥ 400 qm für Elektrogeräte) müssen:
+- **Nr. 1**: Bei Verkauf eines neuen Elektrogerätes auf Wunsch des Endnutzers ein altes gleichwertiges Gerät zurücknehmen (1:1-Tausch),
+- **Nr. 2**: kleine Altgeräte (Kantenlänge ≤ 25 cm) **ohne Kauf eines Neugeräts** kostenlos zurücknehmen — bis zu 3 Stück pro Geräte-Art (0:1-Rücknahme).
+**§ 17 Abs. 2 — Online-Shops**: Pflicht gilt für Online-Vertrieb mit ≥ 400 qm Lagerfläche analog. Rücknahme via Versand (Retoure-Label kostenlos für Verbraucher) oder Sammelpunkt-Hinweise.
+**Audit-Relevanz**: typischer Online-Shop-Audit-Surface. Rücknahme-Hinweis muss im Checkout + auf Produkt-Seite + in AGB.
+---
+## § 18 — Vertreiber-Informationspflicht
+**Wortlaut (Kern)**: Vertreiber müssen Endnutzer über
+- Pflicht getrennte Sammlung Altgeräte,
+- Rücknahme-Möglichkeiten,
+- Bedeutung WEEE-Symbol,
+informieren — Online-Shop: vor Vertragsschluss klar erkennbar in Produktbeschreibung / Pflicht-Info-Page.
+**Audit-Relevanz**: oft übersehene Compliance-Pflicht. UWG-§-3a-abmahnbar.
+---
+## § 23 — Sammlung + Behandlung
+**Wortlaut (Kern)**: Hersteller müssen sich an Sammelsystem beteiligen (öffentlich-rechtlicher Entsorgungsträger oder eigene Lösung).
+---
+## § 29 — Bußgeldvorschriften
+**Wortlaut (Kern)**: Ordnungswidrig handelt, wer
+- ohne EAR-Registrierung Geräte vertreibt (§ 6),
+- Garantie nicht hinterlegt (§ 9),
+- Rücknahme verweigert (§ 17),
+- Informations-Pflichten verletzt (§ 18),
+- Marketplace nicht-registrierte Verkäufer zulässt (§ 6 Abs. 7).
+**§ 29 Abs. 2 — Bußgeld-Rahmen**:
+- **§ 6-Verstoß (keine Registrierung)**: bis **100.000 €** pro Verstoß
+- **§ 17-Verstoß (Rücknahme)**: bis **100.000 €**
+- **§ 18-Verstoß (Information)**: bis **10.000 €**
+- **Marketplace-Verstoß**: bis **100.000 €**
+**Audit-Relevanz**: Plus UWG-Abmahnung durch Wettbewerber + Verbraucherzentrale.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/FernUSG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,80 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: FernUSG Audit-Relevance — Online-Coaching, E-Learning-Akademien, ZFU-Zulassung.
+---
+# FernUSG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei Sites/Apps für:
+- Online-Coaching (Business, Sales, Mindset, Marketing, Trading)
+- E-Learning-Akademien
+- Mastermind-Programme
+- High-Ticket-Coaching-Angebote (€ 3.000 - 30.000 Pakete)
+- Selbstständigkeit-/Karriere-Coaches
+- „Akademie"-/„Universität"-Branding
+- Online-Boot-Camps (Coding, Marketing, Design)
+## Trigger im Code/UI / Doku
+- **Coaching-Vertrag in PDF-Auto-Sign** ohne handschr. Unterschrift → § 2 Abs. 1
+- **Vorauszahlung > 25 % Gesamtpreis** → § 3
+- **„12 Monate Mindest-Vertragsdauer"** ohne Kündigungs-Option → § 5
+- **Fehlende ZFU-Nummer** im Coaching-Angebot → § 12 + § 7 Nichtigkeits-Risiko
+- **„Business-Coaching"** ohne ZFU-Zulassung → § 12 + § 7
+- **„Akademie / Universität"-Branding** ohne ZFU + ggf. HochschulG-Verstoß
+- **Widerrufsbelehrung fehlerhaft** → § 4 + 12-Monats-Verlängerung
+## Verstoss-Klassen + Konsequenz
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| ZFU-Zulassung fehlt | § 12 + § 7 | Vertrags-Nichtigkeit + vollständige Rückzahlung + ggf. § 8 Bußgeld bis 10.000 € | § 7 + § 8 FernUSG |
+| Schriftform-Verstoß | § 2 + § 8 | bis 10.000 € | § 8 Abs. 2 FernUSG |
+| Vorauszahlung > 25 % | § 3 + § 8 | bis 10.000 € + Rückforderbarkeit | § 8 Abs. 2 |
+| Widerrufsbelehrung falsch | § 4 + § 8 | bis 10.000 € + 12-Monats-Verlängerung Widerruf | § 4 + § 356 BGB |
+| Aufgehobenes Kündigungsrecht | § 5 | unwirksame Klausel | § 5 FernUSG |
+**Hauptrisiko**: § 7-Nichtigkeit. Bei € 10.000 Coaching × 100 Kunden = € 1 Mio Rückzahlungs-Forderung. Mehrere OLG-Urteile 2024 haben Coaches in dieser Größenordnung verurteilt.
+## Top-Az.
+> **WARNUNG**: Az.-Liste UNVERIFIZIERT. Vor Skill-Integration gegen juris/dejure
+> cross-checken. Spot-Check „BGH 12 ZR 35/23" wurde vom Advisor als FALSCH
+> identifiziert (BGH-Zivilsenate verwenden römische Ziffern, nicht arabisch).
+> Bekannter Coaching-Fall vom 12.06.2024 ist mutmaßlich BGH III ZR 137/22 —
+> aber auch dieser muss vor Skill-Integration verifiziert werden.
+- ~~BGH 12 ZR 35/23 (12.06.2024)~~ — FALSCHE Az.-Nummer; nicht verwenden
+- BGH-Linie 2023-2024 zur „Beruflichen Weiterbildung" weiter Auslegung — primärquellen-Suche bei juris/dejure erforderlich
+- OLG-Welle 2023-2025 zur Coaching-Vertrag-Nichtigkeit — Az. unverifiziert; Suchstrategie: dejure.org/Suche „FernUSG Coaching" → konkrete Az. extrahieren
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/BGB/` § 312f-§ 312k (Verbraucher-Online-Geschäft) + § 134 (Nichtigkeit) + § 357d (Wertersatz bei Widerruf)
+- `references/gesetze/UWG/audit-relevance.md` § 5 (Irreführung) + § 5a Abs. 4 (Werbe-Kennzeichnung) — Coach-Werbung mit Erfolgs-Garantien
+- `references/gesetze/PAngV/` für Coaching-Pricing-Pflicht
+- `references/audit-patterns.md` Phase 5e für Subscription/High-Ticket-Sale-Surface
+## Praktischer Audit-Checklist
+- [ ] ZFU-Zulassung prüfen / beantragen (https://www.zfu.de)
+- [ ] ZFU-Nummer in Coaching-Angebot + Vertrag + Werbung
+- [ ] Vertrag mit Schriftform (Druck + handschr. Unterschrift)
+- [ ] Vorauszahlung max. 25 % Gesamtpreis
+- [ ] Kündigungs-Klausel: max. 6-Monats-Bindung + 6-Wochen-Frist zum Quartalsende
+- [ ] Widerrufsbelehrung 1:1 nach Anlage zu Art. 246a EGBGB
+- [ ] Pflicht-Inhalt im Vertrag (§ 2 Abs. 1 Nr. 1-6)
+- [ ] „Hobby"-Disclaimer vermeiden, wenn Berufsbildungs-Aspekt vorhanden
+- [ ] Werbe-Versprechen UWG-konform (keine Erfolgs-Garantien)
+## ZFU-Antrags-Pfad
+1. Antrag bei Staatliche Zentralstelle für Fernunterricht, Köln
+2. Lehrgangs-Konzept einreichen (Inhalt, Methodik, Lernziel)
+3. Vertrags-Muster + Allgemeine Geschäftsbedingungen
+4. Lehrkraft-Qualifikations-Nachweis
+5. Bearbeitung 3-6 Monate; Bearbeitungs-Gebühr ab € 1.500
+6. Zulassungs-Nummer in alle Verträge + Werbe-Materialien einfügen

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/FernUSG/paragraphs.md ADDED Viewed

@@ -0,0 +1,102 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/fernusg/
+last-checked: 2026-05-05
+purpose: FernUSG (Fernunterrichtsschutzgesetz) — Verbraucherschutz für Fernunterricht inkl. Online-Coaching. Hauptauslöser für Coaching-Branche-Audits.
+---
+# FernUSG — Kern-Paragraphen
+> Fernunterrichtsschutzgesetz (FernUSG), Stammgesetz 1976, gilt unverändert für Online-Coaching seit BGH-/OLG-Linie 2023-2024.
+> Volltext: https://www.gesetze-im-internet.de/fernusg/
+## § 1 — Begriff Fernunterricht
+**Wortlaut**: Fernunterricht im Sinne dieses Gesetzes ist die auf vertraglicher Grundlage erfolgende, **entgeltliche** Vermittlung von Kenntnissen + Fähigkeiten, bei der
+- **Nr. 1**: der Lehrende und der Lernende **ausschließlich oder überwiegend räumlich getrennt sind** (synchron oder asynchron) und
+- **Nr. 2**: der Lehrende oder sein Beauftragter den Lernerfolg **überwacht**.
+**§ 1 Abs. 2 — Negativabgrenzung**: Reine Wissens-Distribution ohne Lernerfolgs-Kontrolle (z.B. YouTube-Kurs ohne Coach-Rückmeldung) fällt NICHT darunter.
+**Audit-Relevanz**: harter Test seit BGH 2024 — auch Online-Coaching mit „Calls + Hausaufgaben + Feedback" fällt hierunter. Praxis-Folge: Massive Welle an FernUSG-Klagen gegen Coach-Anbieter (€ 5.000 - 30.000 Coaching-Pakete).
+---
+## § 2 — Pflichtangaben im Vertrag
+**Wortlaut (Kern)**: Vertrag bedarf **Schriftform** (§ 2 Abs. 1 — handschriftlich, NICHT § 126a BGB-qeS). Pflicht-Angaben:
+- **Nr. 1**: Inhalt + Ziel + Lernerfolgs-Maßstab des Lehrgangs,
+- **Nr. 2**: Beginn + Dauer + Mindest-Vertragsdauer,
+- **Nr. 3**: Höhe Vergütung + Fälligkeit,
+- **Nr. 4**: Kündigungsrecht (mit Frist),
+- **Nr. 5**: Hinweis auf Widerrufsrecht (§ 4),
+- **Nr. 6**: Hinweis auf staatliche Zulassung (ZFU-Nummer) gem. § 12.
+**Audit-Relevanz**: jeder Coaching-Vertrag muss alle Pflicht-Angaben enthalten + handschriftliche Unterschrift fordern.
+---
+## § 3 — Vergütung + Vorauszahlung
+**Wortlaut (Kern)**: Lehrender darf max. ein Viertel des Gesamtentgelts als Vorauszahlung verlangen. Höhere Vorauszahlung = Verstoß.
+**Audit-Relevanz**: Coaching-Pakete „komplett im Voraus zahlen" sind Pflicht-Verstoß. Ratenzahlungs-Modelle müssen Schwellen einhalten.
+---
+## § 4 — Widerrufsrecht
+**Wortlaut (Kern)**: Verbraucher kann Vertrag binnen **14 Tagen** widerrufen — Frist beginnt erst nach ordnungsgemäßer Belehrung. Bei fehlender Belehrung: Widerrufsrecht besteht bis 12 Monate + 14 Tage (§ 356 BGB analog).
+---
+## § 5 — Kündigungsrecht
+**Wortlaut (Kern)**: Verbraucher kann nach Ablauf der ersten 6 Monate Vertrag mit 6-Wochen-Frist zum Quartalsende kündigen — auch bei längerer vereinbarter Vertragsdauer. Vertrags-Klauseln, die Kündigungsrecht ausschließen, sind unwirksam.
+**Audit-Relevanz**: 12-Monats-Coaching-Verträge ohne Kündigungs-Option = unwirksam.
+---
+## § 7 — Nichtigkeit ohne ZFU-Zulassung
+**§ 7 Abs. 1**: Verträge über Fernlehrgänge, die der staatlichen Zulassung nach § 12 bedürfen, sind nichtig, solange diese Zulassung nicht erteilt ist.
+**§ 7 Abs. 2**: Bei Nichtigkeit hat der Lehrende dem Lernenden bereits gezahlte Vergütung zurückzuerstatten + er muss Aufwendungen ausgleichen.
+**Audit-Relevanz**: HÄRTESTER Hebel. Coaching-Branche 2024-2025 — viele OLG-Urteile haben Coaching-Verträge wegen fehlender ZFU-Zulassung NICHTIG erklärt + Coach zur vollständigen Rückzahlung verurteilt.
+---
+## § 12 — Zulassung des Fernlehrgangs
+**Wortlaut (Kern)**: Fernlehrgänge mit überwiegend Berufsbildungs-/Bildungsabschluss-Charakter bedürfen der **staatlichen Zulassung** durch die **Staatliche Zentralstelle für Fernunterricht (ZFU)** in Köln.
+**§ 12 Abs. 4 — Hobby-Ausnahme**: Fernlehrgänge, die **ausschließlich der Freizeitgestaltung** dienen, sind zulassungsfrei (z.B. Yoga-Kurse, Hobby-Fotografie). Aber: BGH-Linie 2023-2024 hat „Berufliche Weiterbildung" weit ausgelegt — Coaching für Selbstständigkeit / Mindset / Verkauf = Berufsbildung → ZFU-Pflicht. (Az. siehe VERIFICATION-NOTES.md — vor Skill-Integration verifizieren; kursierende Az.-Nummer "12 ZR 35/23" ist FALSCH — BGH-Zivilsenate verwenden römische Ziffern.)
+**Audit-Relevanz**: nahezu jedes „Business Coaching", „Mindset Coaching", „Sales Coaching", „Online-Marketing-Akademie" ist ZFU-pflichtig nach 2024-Linie.
+---
+## § 8 — Bußgeldvorschriften
+**Wortlaut (Kern)**: Ordnungswidrig handelt, wer:
+- Fernlehrgang ohne ZFU-Zulassung anbietet (§ 12),
+- Pflicht-Angaben (§ 2) nicht in Vertrag einsetzt,
+- Schriftform missachtet,
+- Widerrufsbelehrung fehlerhaft macht.
+**§ 8 Abs. 2 — Bußgeld-Rahmen**: Geldbuße bis zu **zehntausend Euro (10.000 €)** pro Verstoß.
+**Audit-Relevanz**: niedrig direkt. Aber: § 7-Nichtigkeit + Rückzahlungs-Pflicht ist viel höher. Massen-Klagen gegen Coaches im fünf- bis siebenstelligen Bereich.
+---
+## NKR-Reform-Initiative 2025
+Der Nationale Normenkontrollrat (NKR) hat im November 2025 erstmals die **vollständige Abschaffung** des FernUSG empfohlen — wegen Rechtsunsicherheit + Bürokratie-Last + nicht-passend zu modernen E-Learning-Modellen. Industrie-Verbände (Bitkom, Bundesverband Fernstudienanbieter) gespalten. Status 2026-05: Reform pending, FernUSG gilt unverändert.
+**Audit-Relevanz**: Coach-Branche operiert in juristisch unsicherem Raum — bis zur Reform = ZFU-Pflicht enforced.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/GeschGehG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,89 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: GeschGehG Audit-Relevance — Trade-Secret-Schutz, NDA, Mitarbeiter-Compliance.
+---
+# GeschGehG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei Operatoren mit:
+- proprietärem Code / Algorithmen / KI-Modellen
+- Kunden-/Vendor-Listen
+- Pricing-Logik / Margen-Modellen
+- Trainings-Daten / Curated-Datasets
+- internen Prozessen / Workflows
+- Forschungs-/Entwicklungs-Output
+- Custom-Konfigurationen / Architecture-Diagramms
+## Trigger im Code/UI / Doku
+- **Code-Repo public** ohne RE-Klausel-EULA → § 3 Abs. 1 Nr. 2 erlaubt RE
+- **Mitarbeiter ohne NDA + Vertraulichkeits-Klausel** → § 2 Nr. 1 b) „angemessene Maßnahmen" fragwürdig
+- **Vertraulichkeits-Klassifizierung fehlt** im Confluence/Notion → § 2 Nr. 1 b) Beweis-Risiko
+- **Public-S3-Bucket mit internen Doku** → § 4 Abs. 1 Nr. 1 erlaubt für Dritte
+- **Ehemaliger Mitarbeiter zur Konkurrenz** ohne Wettbewerbsverbot → § 4 Abs. 3
+- **Open-Source-Veröffentlichung interner Tools** ohne Lizenz-Strategie → Geheimnis verloren
+- **Customer-List in CSV-Export für Vertrieb** ohne Tracking → § 4 Abs. 3-Risiko bei Mitarbeiter-Wechsel
+## Verstoss-Klassen + Konsequenz
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Unrechtmäßige Erlangung | § 4 + § 6-10 | Beseitigung, Unterlassung, Schadensersatz (Lizenzanalogie) | § 6-10 GeschGehG |
+| Nutzung durch Mitarbeiter post-Wechsel | § 4 Abs. 3 + § 10 | Schadensersatz (oft 5-7-stellig) | § 10 GeschGehG |
+| Strafvorschrift einfach | § 23 Abs. 1 | Freiheitsstrafe bis 3 Jahre / Geldstrafe | § 23 GeschGehG |
+| Strafvorschrift schwer | § 23 Abs. 2 | bis 5 Jahre | § 23 GeschGehG |
+| RE-Verbot vertraglich | § 3 + Vertrag | Vertragsstrafe + Unterlassung | individuell |
+## Top-Az.
+- **OLG Düsseldorf I-15 U 6/22** — „angemessene Geheimhaltungsmaßnahmen" konkretisiert
+- **OLG Düsseldorf I-15 U 12/19** — IT-Sicherheits-Mindeststandard für Trade-Secret
+- **BGH I ZR 17/22** — Mitarbeiter-Wechsel + Customer-List als Geschäftsgeheimnis
+- **BGH 5 StR 401/20** — Strafrecht § 23 Anforderungen
+- **EuGH C-145/22** — Trade-Secret-RL Auslegung „angemessene Schritte"
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/UrhG-UrhDaG/` für Code als Werk-Schutz
+- `references/gesetze/StGB/` § 202a-c (Computer-Spionage / unbefugter Zugang)
+- `references/gesetze/HinSchG/` § 5 GeschGehG-Whistleblower-Schranke
+- `references/dsgvo.md` Art. 32 (Vertraulichkeits-TOM analog)
+- `references/audit-patterns.md` Phase 4 (Zugriffs-/Auth-Surface)
+## „Angemessene Geheimhaltungsmaßnahmen" — Mindest-Audit-Pfad
+Operator muss vorhalten + dokumentieren:
+### Organisatorisch
+- [ ] NDA mit Mitarbeitern (allgemein + projektbezogen)
+- [ ] Wettbewerbsverbot post-Vertragsende für Schlüssel-Personal
+- [ ] Vertraulichkeits-Klassifizierung (Public / Internal / Confidential / Strictly Confidential)
+- [ ] Need-to-Know-Prinzip in Zugriffsrechten
+- [ ] Schulung jährlich (Phishing-Awareness + Trade-Secret-Sensibilisierung)
+- [ ] Off-Boarding-Prozess (Zugang sofort revoke + Asset-Rückgabe + Erinnerung Vertraulichkeit)
+### Technisch
+- [ ] Zugriffs-Kontrolle (RBAC + ggf. Just-in-Time)
+- [ ] Verschlüsselung at-rest + in-transit
+- [ ] DLP (Data-Loss-Prevention) für sensitive Doku
+- [ ] Audit-Log + Anomaly-Detection für Mass-Downloads
+- [ ] Repo-Access-Reviews quartalsweise
+- [ ] Customer-Lists mit Watermark / personalisierten Identifiern (forensisches Tracing)
+- [ ] Endpoint-Security (MDM, USB-Restrictions, Print-Logs)
+### Vertraglich
+- [ ] AGB / EULA mit RE-Verbot
+- [ ] Mit Vendoren AVV + zusätzliche Vertraulichkeits-Klausel
+- [ ] Mit Beratern Werkvertragsklauseln zur Eigentums-Übertragung + Vertraulichkeit
+## Praktischer Ablauf bei Verdacht ehemaliger MA → Konkurrenz
+1. Forensische Sicherung der relevanten Audit-Logs vor Termination
+2. Cease-and-Desist-Brief mit § 4-Hinweis + § 23-Strafanzeige-Drohung
+3. § 8-Auskunfts-Klage zur Aufdeckung Vertriebs-/Nutzungs-Wege
+4. Einstweilige Verfügung wenn drohender Schaden absehbar
+5. Strafanzeige bei besonders schweren Fällen (§ 23 Abs. 2)
+6. Hauptklage auf Schadensersatz / Beseitigung