npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.2 - Mend

@aegis-scan/skills 0.5.0 → 0.5.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (345) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/GeschGehG/paragraphs.md ADDED Viewed

@@ -0,0 +1,107 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/geschgehg/
+last-checked: 2026-05-05
+purpose: GeschGehG (Geschäftsgeheimnisgesetz) — DE-Umsetzung Trade-Secret-RL 2016/943. In Kraft seit 26.04.2019.
+---
+# GeschGehG — Kern-Paragraphen
+> Geschäftsgeheimnisgesetz (GeschGehG), in Kraft seit 26.04.2019.
+> Volltext: https://www.gesetze-im-internet.de/geschgehg/
+> EU-Hintergrund: Trade-Secret-RL 2016/943.
+## § 1 — Anwendungsbereich
+**Wortlaut (Kern)**: GeschGehG schützt Geschäftsgeheimnisse gegen unrechtmäßiges Erlangen, Nutzen + Offenlegen — auch bei Vertraulichkeitsbruch ehemaliger Mitarbeiter, Reverse-Engineering, Hacking.
+**Audit-Relevanz**: zentrales Code-Schutz-Recht neben UrhG. UrhG schützt Code als Werk, GeschGehG schützt das WISSEN dahinter (Algorithmen, Architektur, Trainings-Daten, Kunden-Listen).
+---
+## § 2 — Begriffsbestimmungen
+**Wortlaut**: Geschäftsgeheimnis ist eine Information, die
+- **Nr. 1 a)**: weder insgesamt noch in der genauen Anordnung + Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist, und
+- **Nr. 1 b)**: **Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen** durch ihren rechtmäßigen Inhaber ist und
+- **Nr. 1 c)**: bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
+**Audit-Relevanz**: harter Test. „Angemessene Geheimhaltungsmaßnahmen" muss aktiv nachgewiesen werden — sonst KEIN Geheimnis. Operator muss Klassifizierung + Zugriffskontrolle + NDA + Schulung dokumentieren.
+---
+## § 3 — Erlaubte Handlungen
+**Wortlaut (Kern, Abs. 1)**: Erlaubt sind:
+- **Nr. 1**: eigenständige Entdeckung / Schöpfung,
+- **Nr. 2**: **Reverse Engineering** eines erworbenen / rechtmäßig zugänglich gemachten Produkts (außer vertraglich anders vereinbart),
+- **Nr. 3**: Beobachten, Untersuchen, Testen erworbener Produkte,
+- **Nr. 4**: jede sonstige rechtmäßige Handlung.
+**Audit-Relevanz**: Reverse-Engineering eines Konkurrenz-Produkts ist GRUNDSÄTZLICH erlaubt — nur durch separaten Vertrag (NDA, EULA-Klausel) ausschließbar. SaaS-EULA muss daher RE-Verbots-Klausel explizit enthalten.
+---
+## § 4 — Verbotene Handlungen (Verletzungs-Tatbestände)
+**Wortlaut**: Verboten sind insbesondere:
+- **Abs. 1 Nr. 1**: Erlangung durch unbefugten Zugang, Aneignung, Kopie elektronischer Dateien, anderer Weise rechtswidrigen Zugangs,
+- **Abs. 1 Nr. 2**: Erlangung durch sonstiges Verhalten, das gegen Treu + Glauben verstößt,
+- **Abs. 2**: Nutzung / Offenlegung trotz unrechtmäßiger Erlangung oder Verletzung Geheimhaltungs-Pflicht,
+- **Abs. 3**: Nutzung / Offenlegung wider Treu + Glauben (z.B. ehemaliger Mitarbeiter).
+**Audit-Relevanz**: ehemalige Mitarbeiter, die mit Customer-Listen / Code zur Konkurrenz wechseln + dort einsetzen → § 4 Abs. 3-Verstoß.
+---
+## § 5 — Schutz Whistleblower
+**Wortlaut (Kern)**: Erlaubt ist die Erlangung / Nutzung / Offenlegung eines Geheimnisses, wenn dies erfolgt:
+- **Nr. 1**: zur Aufdeckung rechtswidrigen Handelns / beruflichen / sonstigen Fehlverhaltens,
+- **Nr. 2**: zur Wahrung berechtigter Interessen,
+- **Nr. 3**: bei Offenlegung gegenüber Arbeitnehmer-Vertretung im Rahmen Mitbestimmung.
+**Cross-Ref HinSchG**: Whistleblower-Schutz mit GeschGehG-Whistleblower-Schranke ist parallel.
+---
+## §§ 6–9 — Rechtsfolgen Verletzung
+**Wortlaut (Kern)**:
+- **§ 6** — Beseitigung + Unterlassung (auch vorbeugend bei drohender Verletzung).
+- **§ 7** — Vernichtung + Rückruf rechtsverletzender Produkte.
+- **§ 8** — Auskunftsanspruch (Bezugsquellen, Vertriebs-Mengen, Vertriebs-Wege).
+- **§ 10** — Schadensersatz: Lizenzanalogie ODER konkret-Schaden ODER Verletzergewinn (parallel zu UrhG § 97).
+**Audit-Relevanz**: Lizenzanalogie-Berechnung kann bei Code-/Algorithmus-Geheimnissen siebenstellig werden.
+---
+## §§ 16–22 — Verfahrens-Spezifika
+**Wortlaut (Kern)**: Spezial-Verfahren:
+- **§ 16** — Geheimhaltung im Prozess (Kläger muss Geheimnis nicht öffentlich offenlegen)
+- **§ 19** — Geheim-Kammern bei Landgericht
+- **§ 20** — Akten-Geheimhaltung
+- **§ 22** — Mitwirkungs-Pflichten Beklagte
+**Audit-Relevanz**: ohne diese Verfahrens-Schutz wäre Klage praktisch unmöglich (man würde Geheimnis durch Klage offenlegen). § 16 ff macht Trade-Secret-Litigation in DE viable.
+---
+## § 23 — Strafvorschriften
+**Wortlaut (Kern, Abs. 1)**: Mit Freiheitsstrafe bis zu **drei Jahren** oder Geldstrafe wird bestraft, wer
+- **Nr. 1**: Geheimnis durch unbefugten Zugang erlangt + nutzt,
+- **Nr. 2**: in der Absicht handelt, sich + anderen Vermögensvorteil zu verschaffen,
+- **Nr. 3**: zugunsten eines ausländischen Staates / fremder Macht handelt.
+**§ 23 Abs. 2 — Besonders schwerer Fall**: Freiheitsstrafe bis zu **fünf Jahren** bei gewerbsmäßiger Begehung / Bandenmäßiger Begehung / großem Schadensausmaß / besonderer Schädigung.
+**§ 23 Abs. 4**: Versuch ist strafbar.
+**§ 23 Abs. 7**: Strafverfolgung nur auf Antrag, außer überwiegendes öffentliches Interesse.
+**Audit-Relevanz**: zentral für Industriespionage-Fälle + ehemalige-Mitarbeiter-Konstellationen.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/GwG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,62 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: GwG Audit-Relevance — KYC, Krypto-Onboarding, Finance-Compliance.
+---
+# GwG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei Sites/Apps mit:
+- Crypto-Exchange / Custodial-Wallet
+- DeFi-Frontend mit FIAT-Onramp
+- Zahlungsdienst (PSD2 + ZAG)
+- Banking / Neobank
+- Versicherung-Vermittlung
+- Immobilien-Marktplatz mit Transaktion
+- Glücksspiel (online)
+- Edelmetall-Online-Shop
+## Trigger im Code/UI
+- **Account-Erstellung mit nur E-Mail** bei Krypto-Custodial → § 10 + § 11 Verstoß
+- **Fehlendes Video-Ident/Foto-Ident** → § 11 (Identifizierungs-Pflicht)
+- **Keine PEP-Liste-Abfrage** im Onboarding → § 14 (verstärkte Sorgfaltspflicht)
+- **Fehlendes Transaction-Monitoring** → § 10 Abs. 1 Nr. 5
+- **Keine Verdachts-Melde-Funktion** → §§ 43-48
+- **Aufbewahrung < 5 Jahre** → § 8
+- **Wirtschaftlich-Berechtigter-Frage fehlt** im B2B-Onboarding → § 11 Abs. 5
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Sorgfaltspflicht-Verstoß | §§ 10-17 | bis 100.000 € | § 56 Abs. 2 GwG |
+| Risikomanagement fehlt | §§ 4-9 | bis 100.000 € | § 56 Abs. 2 GwG |
+| Schwerer/wiederholter Verstoß | div. | bis 1.000.000 € | § 56 Abs. 2 GwG |
+| Krediti-/Finanz-Institut + schwer | div. | bis 5.000.000 € oder 10 % Jahresumsatz | § 56 Abs. 2 + 4. AMLD Art. 59 |
+| Verdachts-Melde-Verstoß | §§ 43-48 | bis 1.000.000 € | § 56 Abs. 2 GwG |
+| Veröffentlichung („Naming") | § 57 | Reputationsschaden | § 57 GwG |
+## Top-Az. + Behörden-Praxis
+- **BaFin Bußgeld N26 (2021)** — 4,25 Mio € Bußgeld + Anweisungen wegen GwG-Defiziten (öffentlich publiziert per § 57)
+- **BaFin-Anweisung Bitpanda DE (2022)** — Wallet-Service-KYC-Defizite
+- **BaFin Auslegungs- und Anwendungshinweise (AuA) GwG** — verbindliche Verwaltungs-Vorgabe; Update jährlich
+- **FIU Jahresbericht** — typische Verdachts-Muster + Branchenrisiko-Profil
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/Finance/KWG.md` für Kredit-Institut-Erlaubnis
+- `references/gesetze/Finance/ZAG.md` für PSD2-Identifizierung (SCA)
+- `references/gesetze/EU-Verordnungen/MiCA-2023-1114/` für Krypto-Asset-Anbieter (CASP-Pflichten)
+- `references/gesetze/EU-Verordnungen/AMLR-2024-1624/` (ab 2027 anwendbar; ersetzt teilweise GwG)
+- `references/audit-patterns.md` Phase 4 für Onboarding-Surface
+- `references/dsgvo.md` Art. 6 Abs. 1 lit. c (Rechtsgrundlage für KYC-Daten = rechtliche Verpflichtung)
+## Krypto-Spezifika (§ 2 Abs. 1 Nr. 16)
+- **Kryptoverwahrgeschäft** (§ 1 Abs. 1a Satz 2 Nr. 6 KWG) ist GwG-Verpflichtung — auch für Software-as-Custody
+- **Travel Rule** (FATF Empfehlung 16): Sender + Empfänger ≥ 1.000 € müssen identifiziert werden — DE-Umsetzung über § 25g KWG (Krypto-Transferverordnung in EU AMLR übernommen)
+- **Selbstverwahrung-Wallets** (Non-Custodial): Custodial-Plattform muss bei Transfer an externe Wallet zusätzliche Identifizierung vornehmen

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/GwG/paragraphs.md ADDED Viewed

@@ -0,0 +1,119 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/gwg_2017/
+last-checked: 2026-05-05
+purpose: GwG (Geldwäschegesetz) — KYC, Sorgfaltspflichten, Verdachtsmeldungen. AMLD-Umsetzung; ab 2026 schrittweise Ablösung durch EU-AMLR (VO 2024/1624).
+---
+# GwG — Kern-Paragraphen
+> Geldwäschegesetz (GwG), 4./5. AMLD-Umsetzung.
+> Volltext: https://www.gesetze-im-internet.de/gwg_2017/
+## § 1 — Begriffsbestimmungen
+**Wortlaut (Kern)**: Definitionen u.a. für „Verpflichtete", „Geschäftsbeziehung", „wirtschaftlich Berechtigter" (≥ 25 % Anteile / Stimmrechte direkt oder indirekt), „PEP" (politisch exponierte Person), „Risikoanalyse".
+**Audit-Relevanz**: trigger für KYC-Onboarding-Flow Design.
+---
+## § 2 — Verpflichtete
+**Wortlaut (Kern, Abs. 1)**: Verpflichtete sind u.a.:
+- **Nr. 1**: Kreditinstitute (KWG-§-1 Abs. 1),
+- **Nr. 2**: Finanzdienstleistungsinstitute (KWG-§-1 Abs. 1a),
+- **Nr. 3**: Zahlungsdienstleister (ZAG),
+- **Nr. 7**: Versicherungsunternehmen,
+- **Nr. 8**: Wirtschaftsprüfer, Steuerberater,
+- **Nr. 10**: Rechtsanwälte, Notare (bei bestimmten Tätigkeiten),
+- **Nr. 13**: Güterhändler ab Bargeld-Schwellen,
+- **Nr. 14**: Immobilienmakler,
+- **Nr. 15**: Veranstalter / Vermittler von Glücksspielen,
+- **Nr. 16**: Krypto-Verwahrer (§ 1 Abs. 11 KWG = Krypto-Verwahrgeschäft).
+**Audit-Relevanz**: Krypto-Plattformen + Custodial-Wallets sind GwG-Verpflichtete (§ 2 Abs. 1 Nr. 16). Auch DeFi-Frontends mit FIAT-Onramp-Funktion fallen in Praxis darunter.
+---
+## §§ 4–9 — Risikomanagement
+**Wortlaut (Kern)**: Verpflichtete müssen
+- Risikoanalyse erstellen + dokumentieren (§ 5),
+- interne Sicherungsmaßnahmen (§ 6) einrichten,
+- Geldwäsche-Beauftragten benennen (§ 7) ab gewisser Größe,
+- Mitarbeiter schulen (§ 6 Abs. 2 Nr. 6),
+- Verdachts-Meldewege (§ 6 Abs. 2 Nr. 7) etablieren.
+**Audit-Relevanz**: Compliance-Doku — Audit-Surface für AVV / Mitarbeiter-Schulung / interne Policy.
+---
+## §§ 10–17 — Sorgfaltspflichten
+### § 10 — Allgemeine Sorgfaltspflichten
+**Wortlaut (Kern)**: Verpflichtete müssen bei Begründung jeder Geschäftsbeziehung + bei Transaktionen ≥ Schwellwerte:
+- Vertragspartner identifizieren (§ 11) — Name, Geburtsdatum, Adresse, Ausweisnummer,
+- wirtschaftlich Berechtigten ermitteln (§ 11 Abs. 5),
+- Zweck + Art der Geschäftsbeziehung klären (§ 10 Abs. 1 Nr. 2),
+- kontinuierliche Überwachung sicherstellen,
+- Aufzeichnungen 5 Jahre aufbewahren (§ 8).
+### § 11 — Identifizierung
+**Wortlaut (Kern)**: Identifizierung erfolgt durch:
+- gültigen Personalausweis / Reisepass (Foto-Ident, Video-Ident, Online-Ident-Verfahren),
+- bei juristischen Personen: HR-Auszug + UB-Eintrag.
+### § 13 — Vereinfachte Sorgfaltspflichten
+Bei niedrigem Risiko (z.B. EU-zugelassene Banken als Vertragspartner) reduzierte Pflichten zulässig.
+### § 14 — Verstärkte Sorgfaltspflichten
+Bei erhöhtem Risiko (PEP, Hochrisikoländer, ungewöhnliche Transaktionen):
+- zusätzliche Identifizierungs-Schritte,
+- Geschäftsführungs-Genehmigung,
+- erweiterte Überwachung.
+**Audit-Relevanz**: KYC-Onboarding-Flow muss alle drei Risiko-Stufen abbilden. Krypto-Plattform mit „nur E-Mail + Telefonnummer" = klarer GwG-§-10/11-Verstoß.
+---
+## § 23 — Transparenzregister
+**Wortlaut (Kern)**: Juristische Personen + Personengesellschaften müssen wirtschaftlich Berechtigten zum Transparenzregister melden. Vollregister seit 01.08.2021.
+**Audit-Relevanz**: Compliance-Pflicht für Operatoren — Audit-Surface bei Firmen-Onboarding.
+---
+## §§ 43–48 — Verdachts-Meldungen
+**Wortlaut (Kern)**: Verpflichtete müssen FIU (Financial Intelligence Unit) Verdachtsfälle unverzüglich melden — auch bei nur Verdacht auf Geldwäsche / Terrorismusfinanzierung. Geheimhaltungs-Pflicht („tipping-off"): Kunde darf nicht informiert werden.
+**Audit-Relevanz**: trigger für Backend-Logik bei „suspicious activity" — Meldekanal an goAML (Online-Portal).
+---
+## § 56 — Bußgeldvorschriften
+**Wortlaut (Kern)**: Ordnungswidrig handelt, wer fahrlässig oder vorsätzlich gegen Sorgfaltspflichten, Risikomanagement, Verdachts-Meldepflichten verstößt.
+**§ 56 Abs. 2 — Bußgeld-Rahmen** (gestaffelt nach Schwere):
+- **Standardverstoß**: bis **einhunderttausend Euro (100.000 €)**
+- **Schwere/wiederholte/systematische Verstöße**: bis **eine Million Euro (1.000.000 €)**
+- **Bei Verpflichteten = Kreditinstitut / Finanzinstitut + besonders schwerer Verstoß**: bis **fünf Millionen Euro (5.000.000 €) oder 10 % Jahresumsatz** (höherer Betrag gilt) — entsprechend Art. 59 4. AMLD
+- **Vermögensvorteil-Abschöpfung** kann zusätzlich verhängt werden (§ 56 Abs. 3).
+**Audit-Relevanz**: schwerste OwiG-Schwelle in DE-Compliance-Recht. Bei Krypto-Plattform mit ungenügendem KYC = sofortiger Existenz-Risiko (BaFin-Marktverbot + Bußgeld bis 10 % Jahresumsatz).
+---
+## § 57 — Veröffentlichung der Bußgeldentscheidungen
+**Wortlaut (Kern)**: BaFin / FIU veröffentlichen rechtskräftige Maßnahmen mit Name des Verpflichteten + Verstoß-Beschreibung („Naming & Shaming").
+**Audit-Relevanz**: Reputations-Risiko zusätzlich zum monetären Bußgeld.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/HWG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,70 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: HWG Audit-Relevance — Health/Pharma/Wellness/DiGA-Werbung.
+---
+# HWG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei JEDER Site mit:
+- Arzneimittel-Werbung (auch OTC / Online-Apotheke)
+- Medizinprodukt-Werbung (incl. DiGA + Wellness-Geräte)
+- Health-Claims für Verfahren/Behandlungen (auch Diät, Coaching mit Heilversprechen)
+- Wellness-/Beauty-Sites mit gesundheits-/krankheitsbezogenen Aussagen
+- Schönheits-OP-Praxis-Sites
+- Influencer-Werbung für Supplements / Health-Apps
+## Trigger im Code/UI
+- **„heilt", „lindert", „beseitigt"** + Krankheits-Begriff → § 3 Nr. 1 (Wirksamkeit, die nicht da ist) ODER § 12 (verbotene Krankheits-Werbung)
+- **„klinisch getestet", „wissenschaftlich bewiesen", „ärztlich empfohlen"** in Publikumswerbung → § 11 Nr. 1 / Nr. 6
+- **Vorher-Nachher-Bilder** bei Schönheits-OPs / Diäten / Hautpflege → § 11 Nr. 4 + § 11 Abs. 1 Satz 3
+- **Testimonials mit Foto** („Hat mir geholfen!") → § 11 Nr. 11
+- **Person im weißen Kittel** (Stock-Foto auf Health-Site) → § 11 Nr. 3
+- **Werbung für Rx-Arzneimittel** außerhalb Fachkreise → § 10 (hartes Verbot)
+- **Pflichttext fehlt** bei OTC-Apotheken-Anzeigen → § 4 Abs. 3
+- **„Geld-zurück-Garantie", „Gratis-Probe"** für Arzneimittel/Medizinprodukte → § 7
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Irreführende Heilversprechen | § 3 | bis 50.000 € + UWG-Abmahnung | § 15 Abs. 3 HWG |
+| Pflichttext fehlt (OTC) | § 4 | bis 50.000 € + UWG-Abmahnung | § 15 Abs. 3 HWG |
+| Wertreklame / Werbegaben | § 7 | bis 50.000 € | § 15 Abs. 3 HWG |
+| Rx-Werbung Publikum | § 10 | bis 50.000 € | § 15 Abs. 3 HWG |
+| Testimonials / Vorher-Nachher | § 11 | bis 50.000 € + UWG-Abmahnung (3a) | § 15 Abs. 3 HWG |
+| Werbung für Cancer-Cure etc. | § 12 | bis 50.000 € (+ § 14 ggf. Straftat) | § 15 Abs. 3 HWG |
+UWG-§-3a-Abmahnung-Streitwert: typisch 5.000–25.000 € pro abmahnender Wettbewerber. Aufwendungsersatz nach UWG § 13 Abs. 4 begrenzt — ABER der Unterlassungsanspruch + Vertragsstrafe-Risiko bleibt.
+## Top-Az.
+- **BGH I ZR 213/13** (07.05.2015) — „Online-Apotheke" — Pflichttext muss auch in Online-Werbung erscheinen
+- **BGH I ZR 60/16** — Testimonials in Apotheken-Anzeige als § 11 Nr. 11-Verstoß
+- **OLG Hamburg 5 U 189/12** — Vorher-Nachher-Bilder bei Schönheits-OP
+- **BGH I ZR 200/05** „Pillen-Test" — Werbung mit Stiftung-Warentest-Ergebnissen ist § 11 Nr. 1-Verstoß bei Arzneimitteln
+- **BGH I ZR 91/19** „Solar-Heilung" — wissenschaftlich nicht belegte Wirkversprechen sind § 3 Nr. 1-Verstoß
+## Cross-Reference (zu anderen Skill-Files)
+- `references/dsgvo.md` für Health-Daten = Art. 9 (besondere Kategorie)
+- `references/audit-patterns.md` Phase 5g für Werbe-/Marketing-Audit-Surface
+- `references/gesetze/UWG/audit-relevance.md` § 3a (Rechtsbruch) — HWG-Verstöße sind UWG-abmahnbar
+- `references/gesetze/AMG/` für Zulassungspflicht (§ 21 AMG) — Vorfrage für HWG-Werbung
+- `references/gesetze/MPDG/` für Medizinprodukte-Definition (HWG § 1 Abs. 1 Nr. 1a)
+- `references/gesetze/LFGB/` Abgrenzung Lebensmittel-mit-Health-Claims (Health-Claim-VO statt HWG)
+## Sektor-Abgrenzungen
+| Produkt | Maßgebliches Recht |
+|---|---|
+| Arzneimittel (zugelassen) | HWG + AMG |
+| Medizinprodukt (CE-Mark) | HWG + MPDG/MDR |
+| DiGA (BfArM-gelistet) | HWG + DiGAV + MDR |
+| Nahrungsergänzungsmittel | NemV + Health-Claim-VO 1924/2006 (NICHT HWG, außer kombinierte Heilversprechen) |
+| Kosmetik | Kosmetik-VO 1223/2009 + UWG (NICHT HWG) |
+| Wellness ohne Heilversprechen | UWG § 5 |
+| Wellness MIT Heilversprechen | HWG § 3 (vorgeschoben als Mittel) |

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/HWG/paragraphs.md ADDED Viewed

@@ -0,0 +1,125 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+source: https://www.gesetze-im-internet.de/heilmwerbg/
+last-checked: 2026-05-05
+purpose: HWG (Heilmittelwerbegesetz) — Werbung für Arzneimittel, Medizinprodukte, Gesundheits-Verfahren. Hauptauslöser für Health-Claims-Audits + Wellness-/DiGA-Werbung.
+---
+# HWG — Kern-Paragraphen
+> Heilmittelwerbegesetz (HWG).
+> Volltext: https://www.gesetze-im-internet.de/heilmwerbg/
+## § 1 — Anwendungsbereich
+**Wortlaut (Kern)**: HWG gilt für Werbung für Arzneimittel (im Sinne des AMG), Medizinprodukte (im Sinne des MPDG/MDR), andere Mittel/Verfahren/Behandlungen mit gesundheitsbezogenen Aussagen, sowie operative plastisch-chirurgische Eingriffe.
+**Audit-Relevanz**: Anwendungsbereich-Trigger — bestimmt, OB Audit-Surface vom HWG erfasst ist (vs. nur LFGB / UWG).
+---
+## § 3 — Verbot irreführender Werbung
+**Wortlaut (Kern)**: Unzulässig ist eine irreführende Werbung. Eine Irreführung liegt insbesondere vor, wenn
+- **Nr. 1**: Arzneimitteln, Medizinprodukten, Verfahren, Behandlungen, Gegenständen oder anderen Mitteln eine therapeutische Wirksamkeit oder Wirkungen beigelegt werden, die sie nicht haben,
+- **Nr. 2**: fälschlich der Eindruck erweckt wird, dass
+  - **a)** ein Erfolg mit Sicherheit erwartet werden kann,
+  - **b)** bei bestimmungsgemäßem oder längerem Gebrauch keine schädlichen Wirkungen eintreten,
+  - **c)** die Werbung nicht zu Zwecken des Wettbewerbs veranstaltet wird,
+- **Nr. 3**: unwahre oder zur Täuschung geeignete Angaben über Zusammensetzung, Beschaffenheit, Person des Herstellers oder Heilerfolge gemacht werden.
+**Audit-Relevanz**: zentrale Norm für Wellness-/Health-Claim-Audits. „Heilt", „bewiesen wirksam gegen", „garantierter Erfolg", „nebenwirkungsfrei" — alles HWG-§-3-Treffer. Auch DiGA-Marketing-Texte + Pre-Listing-Kommunikation.
+---
+## § 4 — Pflichtangaben in der Werbung für Arzneimittel
+**Wortlaut (Kern)**: Jede Werbung für Arzneimittel muss enthalten:
+- Name oder Firma des pharmazeutischen Unternehmers,
+- Bezeichnung des Arzneimittels,
+- Zusammensetzung des Arzneimittels (Wirkstoffe nach Art und Menge),
+- Anwendungsgebiete,
+- Gegenanzeigen,
+- Nebenwirkungen,
+- Warnhinweise (soweit erforderlich).
+**§ 4 Abs. 3 — Publikumswerbung-Hinweis**: Bei Werbung außerhalb der Fachkreise muss der Hinweis enthalten sein: **„Zu Risiken und Nebenwirkungen lesen Sie die Packungsbeilage und fragen Sie Ihren Arzt oder Apotheker."** (bei apothekenpflichtigen Arzneimitteln). Der Pflichttext muss von der übrigen Werbung deutlich abgesetzt + gut lesbar sein.
+**Audit-Relevanz**: Banner/Anzeigen ohne den Pflichttext sind UWG-§-3a-Rechtsbruch über HWG-§-4-Verstoß abmahnbar. Auch bei Online-Shops + Social-Media-Anzeigen für apothekenpflichtige Mittel.
+---
+## § 7 — Verbot von Wertreklame (Zugaben)
+**Wortlaut (Kern)**: Es ist unzulässig, Zuwendungen und sonstige Werbegaben (Waren oder Leistungen) anzubieten, anzukündigen oder zu gewähren — sofern die Zuwendung nicht
+- in geringwertigen Kleinigkeiten besteht (Bagatell-Schwelle),
+- in einem bestimmten Geldbetrag besteht (Barrabatt-Ausnahme bei Nicht-Pflicht-Arzneimitteln),
+- handelsübliche Nebenleistungen darstellt,
+- in Auskünften / Ratschlägen besteht.
+**Audit-Relevanz**: „Gratis-Probe", „Geld-zurück-Garantie", „2-für-1" bei Arzneimitteln/Medizinprodukten = Verstoß. Auch Influencer-Promos + Affiliate-Codes.
+---
+## § 10 — Verbot der Publikumswerbung für verschreibungspflichtige Arzneimittel
+**Wortlaut (Kern)**: Für verschreibungspflichtige Arzneimittel darf NUR bei Angehörigen der Heilberufe (Ärzte, Apotheker, Zahnärzte, Tierärzte, Heilpraktiker) geworben werden. Publikumswerbung ist verboten.
+**Audit-Relevanz**: harter Hebel — wenn Online-Shop / SaaS / App ein Rx-Arzneimittel bewirbt (auch implizit über Patient-Stories), ist es § 10 HWG-Verstoß.
+---
+## § 11 — Werbung außerhalb der Fachkreise (Publikumswerbung)
+**Wortlaut (Kern)**: In der Publikumswerbung darf NICHT geworben werden mit:
+- **Nr. 1**: Gutachten, Zeugnissen, wissenschaftlichen Veröffentlichungen, Hinweisen darauf,
+- **Nr. 2**: Angaben, die nahelegen, die Gesundheit könne durch Nichtanwendung des Mittels beeinträchtigt sein,
+- **Nr. 3**: bildlicher Darstellung von Personen in Berufskleidung oder bei Ausübung der Tätigkeit von Angehörigen der Heilberufe,
+- **Nr. 4**: bildlicher Darstellung der Veränderung des menschlichen Körpers durch Krankheiten oder Schäden — oder die Wirkung des Arzneimittels darauf (Vorher-Nachher-Bilder),
+- **Nr. 5**: fremdsprachlichen oder fachsprachlichen Bezeichnungen,
+- **Nr. 6**: Angaben, dass Mittel ärztlich, klinisch geprüft oder empfohlen werden,
+- **Nr. 7**: Krankengeschichten + Hinweisen darauf, wenn sie auf Selbstdiagnose o. Selbstbehandlung anregen können,
+- **Nr. 11**: Äußerungen Dritter (Dankesschreiben, Anerkennung, Empfehlungsschreiben), wenn sie missbräuchlich, abstoßend oder irreführend sind,
+- **Nr. 12**: Werbevorträgen mit Verkaufsdruck,
+- **Nr. 13**: Preisausschreiben + Verlosungen, wenn dadurch unzweckmäßiger oder übermäßiger Gebrauch gefördert wird.
+**§ 11 Abs. 1 Satz 3 — Vorher-Nachher-Bilder bei Schönheits-OPs**: Bei operativen plastisch-chirurgischen Eingriffen verboten — Werbung mit Vorher-Nachher-Darstellungen + Werbung, die suggeriert, der Eingriff sei medizinisch nicht erforderlich.
+**Audit-Relevanz**: Hauptauslöser für Wellness/Health-App/DiGA-Audits. Testimonials („Hat mir geholfen!" mit Patient-Foto) = Nr. 11. Wissenschafts-Lookalike-Logos = Nr. 1. „Klinisch geprüft"-Badge = Nr. 6. Influencer im weißen Kittel = Nr. 3.
+---
+## § 12 — Werbeverbote für bestimmte Krankheiten
+**Wortlaut (Kern)**: Außerhalb der Fachkreise darf nicht geworben werden für die Erkennung, Beseitigung oder Linderung der in der Anlage zu HWG genannten Krankheiten — insb. meldepflichtige Krankheiten (z.B. Tuberkulose, Krebserkrankungen, sexuell übertragbare Krankheiten in bestimmten Stadien).
+**Audit-Relevanz**: Cancer-Cure-Claims auf Wellness-/Supplement-Seiten = harter HWG-§-12-Treffer. Ähnlich „heilt Diabetes" / „heilt Aids".
+---
+## § 14 — Strafvorschriften
+**Wortlaut (Kern)**: Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer entgegen § 3a (Werbung für nicht zugelassene Arzneimittel) eine dort bezeichnete Handlung vornimmt.
+**Audit-Relevanz**: kommt in Compliance-Praxis selten — primärer Hebel ist § 15 (Bußgeldvorschriften) + UWG-§-3a-Abmahnung.
+---
+## § 15 — Bußgeldvorschriften
+**Wortlaut (Kern)**: Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig gegen §§ 3, 4, 7, 10, 11, 12 verstößt.
+**§ 15 Abs. 3 — Bußgeld-Rahmen**: Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu **fünfzigtausend Euro (50.000 €)** geahndet werden.
+**Audit-Relevanz**: € 50.000 Behörden-Bußgeld + UWG-§-3a-Abmahnung-Risiko (Rechtsbruch durch Konkurrent). Behörde = Landesüberwachungsbehörden (in DE meist die Landesgewerbeämter / Regierungspräsidien).
+---
+## Zusatz: Anwendungsbereich-Erweiterung Medizinprodukte (§ 1 Abs. 1 Nr. 1a)
+Seit 26.05.2021 (Anpassung an MDR) gelten HWG-Pflichten auch für Medizinprodukte-Werbung. „Software-as-Medical-Device" (DiGA, Klassifizierung IIa/IIb) → HWG voll anwendbar.
+**Audit-Relevanz**: DiGA-Marketing fällt unter § 3 + § 11 + § 4. Pflichttext-Anpassungen je nach Risikoklasse.

package/skills/compliance/aegis-native/brutaler-anwalt/references/de-statute-tier1/HinSchG/audit-relevance.md ADDED Viewed

@@ -0,0 +1,70 @@
+---
+license: gemeinfrei nach § 5 UrhG (DE)
+verification-status: az-list-unverified (siehe VERIFICATION-NOTES.md — Az.-Listen aus Domain-Wissen, vor Skill-Integration gegen juris/dejure cross-checken)
+purpose: HinSchG Audit-Relevance — Whistleblower-Kanal-Pflicht, Vertraulichkeits-Tech-Stack.
+---
+# HinSchG — Audit-Relevance
+## Auto-Loading-Trigger
+Bei Operatoren mit:
+- ≥ 50 MA in DE (Pflicht seit 17.12.2023)
+- regulierter Branche (Finance, TK, Energie, etc. unabhängig MA-Anzahl)
+- Tochter-/Zweigniederlassung-Sitz DE
+## Trigger im Code/UI / Doku
+- **Kein Hinweisgeberkanal** in Compliance-Doku → § 12 Abs. 1
+- **Hinweisgeber-Form ohne anonyme Option** → § 16 (Best-Practice fehlt)
+- **Identitäts-leak: HR sieht Hinweisgeber-Name** → § 13 Verletzung
+- **E-Mail-Versand ohne Verschlüsselung** → § 13 (technisch) + DSGVO Art. 32
+- **Aufbewahrung > Notwendigkeitsdauer** → § 18 + DSGVO-Datenminimierung
+- **Bestätigung > 7 Tage / Folge-Mitteilung > 3 Monate** → § 17
+## Verstoss-Klassen + €-Range
+| Verstoss | § | Range | Quelle |
+|---|---|---|---|
+| Meldestelle nicht eingerichtet | § 12 + § 40 | bis 20.000 € | § 40 Abs. 2 HinSchG |
+| Behinderung Meldung | § 40 Nr. 2 | bis 20.000 € | § 40 Abs. 2 HinSchG |
+| Vertraulichkeits-Verstoß | § 13 + § 40 | bis 20.000 € | § 40 Abs. 2 HinSchG |
+| Repressalie | § 33 + § 40 | bis 50.000 € + Schadensersatz | § 40 Abs. 2 + § 37 HinSchG |
+| Falschmeldung wissentlich | § 40 Nr. 5 | bis 20.000 € | § 40 Abs. 2 HinSchG |
+**Hauptrisiko**: § 36 Beweislastumkehr — bei berufl. Nachteil für Hinweisgeber = vermutete Repressalie. Schadensersatz-Klagen können sechsstellig werden.
+## Top-Az. + Behörden-Praxis
+- **BfJ Tätigkeitsbericht 2024** (zentrale externe Meldestelle) — Statistik der bisherigen Verfahren
+- **EuGH C-560/22** (Hinweisgeber-Schutz aus RL 2019/1937 — direkte Anwendbarkeit pre-Umsetzung)
+- **OLG Frankfurt 6 W 41/22** — interne Meldestelle ohne Pflichtinhalt = unzureichend
+## Cross-Reference (zu anderen Skill-Files)
+- `references/gesetze/AGG/` § 22 Beweislastumkehr (parallele Mechanik)
+- `references/dsgvo.md` Art. 32 (Vertraulichkeits-Tech) + Art. 6 Abs. 1 lit. c (Rechtsgrundlage)
+- `references/gesetze/BetrVG/` § 87 Abs. 1 Nr. 6 — Whistleblower-Tool ist mitbestimmungspflichtig
+- `references/audit-patterns.md` Phase 5f (HR-Compliance) + Phase 6 (Doku)
+## Tech-Stack-Compliance-Pfad
+1. **Tool-Auswahl**: Anonyme Meldung + Verschlüsselung + Audit-Trail. Beispiele: EQS Compliance, Whistlelink, Hintbox, Convercent, Whistleblower-System d.R.
+2. **§ 87 BetrVG**: Tool ist mitbestimmungspflichtig → BV erforderlich
+3. **DSGVO Art. 32**: TLS 1.3, AES-256, Zugriffe getrennt (Meldestelle ≠ HR ≠ GL)
+4. **DSGVO Art. 30**: Verzeichnis von Verarbeitungstätigkeiten ergänzen
+5. **§ 17 HinSchG-Fristen**: 7 Tage Bestätigung + 3 Monate Folge-Mitteilung als SLA-Pflicht
+6. **AVV mit Tool-Provider** (Auftragsverarbeitung)
+7. **Mitarbeiter-Schulung jährlich** über Meldekanal-Existenz + Verfahren
+## Praktischer Audit-Checklist
+- [ ] Hinweisgeberkanal eingerichtet + dokumentiert (Hosting in EU)
+- [ ] Anonyme Meldung möglich (technisch + organisatorisch)
+- [ ] Verschlüsselte Übertragung (HTTPS + ggf. Email-Verschlüsselung)
+- [ ] Zugriff: nur § 14-Meldestellen-Mitarbeiter (rollenbasiert)
+- [ ] Mitarbeiter-Information über Kanal (Intranet-Link, Aushang)
+- [ ] Schulung Meldestellen-Personal (Strafrechts-Grundlagen, GwG-Verdachtsmomente, DSGVO)
+- [ ] § 17-Fristen in SLA-Tool gemonitort
+- [ ] Repressalie-Schutz-Klausel in Mitarbeiter-Handbuch
+- [ ] BV mit Betriebsrat über Tool-Einsatz (BetrVG § 87)