npm - @aegis-scan/skills - Versions diffs - 0.5.0 → 0.5.2 - Mend

@aegis-scan/skills 0.5.0 → 0.5.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (345) hide show

package/skills/compliance/aegis-native/brutaler-anwalt/commands/az-verify.md ADDED Viewed

@@ -0,0 +1,155 @@
+---
+name: anwalt:az-verify
+description: Cross-Check eines Aktenzeichens gegen drei Quellen — (1) lokal in references/bgh-urteile.md, (2) WebFetch auf Tier-1-Primaerquelle, (3) Halluzinations-Pattern-Check (Placeholder-Az. 1234/22 / 9999/22 / Jahr-Inkonsistenz). Output verified / unverified / suspicious / hallucination mit Begruendungs-Trail. KILLER-FEATURE — niemand sonst hat das.
+allowed-tools: Read, Grep, WebFetch, WebSearch, Bash
+---
+# /anwalt:az-verify — Aktenzeichen-Provenance-Check
+> Verifiziere ein konkretes Az. nach SKILL.md §5 Az.-Provenance-Pflicht in
+> einem Single-Step. Output: 4-stufiges Verdict + Begruendungs-Trail.
+> Pflicht-Verwendung VOR jeder Az.-Citation in Mandanten-Schriftsaetzen.
+---
+## Input-Format
+Beliebige der folgenden Formate akzeptiert:
+```
+/anwalt:az-verify BGH I ZR 113/20
+/anwalt:az-verify EuGH C-673/17
+/anwalt:az-verify BVerfG 1 BvR 1/22
+/anwalt:az-verify OLG Hamm 11 U 88/22
+/anwalt:az-verify LG Muenchen 3 O 17493/20
+```
+Mehrere Az. pro Aufruf:
+```
+/anwalt:az-verify BGH I ZR 113/20, EuGH C-673/17, BGH VIII ZR 90/22
+```
+---
+## 3-Stufen-Verification
+### Stufe 1 — Lokal-Check (~30s)
+```bash
+grep -n "<AZ>" ~/.claude/skills/brutaler-anwalt/references/bgh-urteile.md
+```
+Wenn Treffer mit Source-URL: → STATUS = **VERIFIED-LOCAL**
+Wenn Treffer ohne Source: → STATUS = **PARTIAL-LOCAL** (continue Stufe 2)
+Wenn kein Treffer: → STATUS = **NOT-IN-DB** (continue Stufe 2)
+### Stufe 2 — Primary-Source-WebFetch (~60s)
+Pruefe in dieser Reihenfolge:
+1. **BGH-Az.** (z.B. `BGH I ZR 113/20`):
+   - WebFetch: `https://juris.bundesgerichtshof.de/...` mit Az.-Suchparameter
+   - Fallback: `https://dejure.org/dienste/lex/BGB/...`
+2. **EuGH-Az.** (z.B. `C-673/17`):
+   - WebFetch: `https://curia.europa.eu/juris/liste.jsf?num=<AZ>&language=de`
+3. **BVerfG-Az.** (z.B. `1 BvR 1/22`):
+   - WebFetch: `https://www.bundesverfassungsgericht.de/...`
+4. **OLG-Az.** (z.B. `OLG Hamm 11 U 88/22`):
+   - WebFetch: `https://nrwe.justiz.nrw.de/...` (fuer OLG-NRW)
+   - Fallback: `https://openjur.de/...`
+5. **LG-Az.** (z.B. `LG Muenchen 3 O 17493/20`):
+   - WebFetch: `https://medien-internet-und-recht.de/...`
+   - Fallback: `https://openjur.de/...`
+Bei Treffer mit Az.-Volltext-Match: → STATUS = **PRIMARY-SOURCE-VERIFIED**
+Bei Treffer mit Az.-Sachverhalt-Match aber ohne explizites Az.: → SUSPICIOUS (siehe v3.3-Lesson: WebSearch-Snippet mit „aehnlichem Sachverhalt" ist NICHT ausreichend)
+Bei keinem Treffer: → STATUS = **UNVERIFIED**
+### Stufe 3 — Halluzinations-Pattern-Check (~10s)
+Pruefe das Az. gegen 4 Indikatoren:
+```python
+suspicious_patterns = [
+    r"\b1234/\d{2}\b",   # Placeholder
+    r"\b9999/\d{2}\b",   # Placeholder
+    r"\b1111/\d{2}\b",   # Placeholder
+    r"\b\d{4}/22\b",     # Round-number suspicion fuer 2022er-Filings
+]
+```
+Plus: Az.-Jahr vs. behauptetes Entscheidungs-Jahr divergiert > 3 Jahre?
+(Az.-Vergabe in Eingangs-Jahr, Urteil typ. 1-3 Jahre spaeter — > 3 Jahre Drift = Verdacht)
+Bei Match: → STATUS = **HALLUCINATION-SUSPECT** (auch wenn Stufe 1/2 grün — manuell verifizieren!)
+---
+## Output-Format
+```markdown
+# Az.-Verification — <YYYY-MM-DD HH:MM>
+## BGH I ZR 113/20
+| Stufe | Ergebnis | Detail |
+|---|---|---|
+| 1. Lokal-DB | ✅ VERIFIED-LOCAL | `references/bgh-urteile.md:42` mit Source-URL |
+| 2. Primary-Source | ✅ PRIMARY-SOURCE-VERIFIED | juris.bundesgerichtshof.de Treffer mit Volltext |
+| 3. Halluzinations-Check | ✅ CLEAN | Kein Placeholder-Pattern, Jahre konsistent |
+**FINAL-VERDICT**: ✅ VERIFIED — bedenkenlos zitierbar.
+**Source-URL**: https://juris.bundesgerichtshof.de/cgi-bin/...
+**Sachverhalt**: Smartlaw — RDG-§-2 zu automatisierten Vertragsgeneratoren
+**Entscheidungs-Datum**: 09.09.2021
+---
+## C-9999/22 (hypothetisches Beispiel)
+| Stufe | Ergebnis | Detail |
+|---|---|---|
+| 1. Lokal-DB | ❌ NOT-IN-DB | Kein Treffer in references/bgh-urteile.md |
+| 2. Primary-Source | ❌ UNVERIFIED | WebFetch curia.europa.eu/juris/liste.jsf?num=C-9999/22 — keine Resultate |
+| 3. Halluzinations-Check | 🚨 HALLUCINATION-SUSPECT | Placeholder-Pattern `9999/\d{2}` |
+**FINAL-VERDICT**: 🚨 HALLUCINATION-SUSPECT — NICHT zitieren. Skill-Output dass diese Az. enthielt
+muss korrigiert werden. PostWrite-Hook haette das blockiert.
+**Empfohlene Aktion**: Az. aus Output entfernen, stattdessen `§-Zitat ohne Az.` verwenden, oder
+`[ungeprueft, manuelle Verifikation vor Schriftsatz erforderlich]`-Tag.
+```
+---
+## Halt-Conditions
+- Wenn Az.-Format nicht erkennbar (kein BGH/EuGH/OLG/LG/BVerfG-Prefix): STOP, User-Hint.
+- Wenn WebFetch fehlschlaegt (Rate-Limit / Network-Error): STATUS = **WEBFETCH-FAILED**, Stufe 1 + 3 trotzdem reporten.
+- Wenn > 10 Az. in einem Aufruf: STOP, bitten User Batch zu splitten.
+---
+## Side-Effect bei VERIFIED + nicht-in-DB
+Wenn Az. via Stufe 2 als PRIMARY-SOURCE-VERIFIED bestaetigt aber nicht in `references/bgh-urteile.md`:
+→ **Vorschlag** (NICHT Auto-Apply): „Soll ich diese Az. zur DB hinzufuegen? (yes/no)"
+→ Bei yes: Append-Entry zu `references/bgh-urteile.md` mit Source-URL + Sachverhalt-Kurzfassung.
+→ Vergroessert die Local-Az.-DB ueber Audits hinweg.
+---
+## Disclaimer
+Selbst „VERIFIED" ersetzt KEINE anwaltliche Pruefung. Az.-Volltext kann sich
+durch Berichtigungs-Beschluss aendern; Tenor kann unterschiedlich interpretiert
+werden. Diese Verification ist eine **technisch-indikative Existenz-Bestaetigung
++ Halluzinations-Defense**, kein Tenor-Sachverhalts-Endurteil.
+§ 2 RDG bleibt einschlaegig.

package/skills/compliance/aegis-native/brutaler-anwalt/commands/cold-start.md ADDED Viewed

@@ -0,0 +1,157 @@
+---
+name: anwalt:cold-start
+description: Einmaliges Practice-Profile-Interview. Erfasst Branche / Stack / B2B-B2C / EU-Land + Compliance-Status. Schreibt .brutaler-anwalt/profile.md im Projektroot. Jeder folgende Audit liest dieses Profil zuerst und ueberspringt Re-Discovery.
+allowed-tools: Read, Write, Edit, Glob, Grep, Bash
+---
+# /anwalt:cold-start — Practice-Profile-Interview
+> Einmal pro Projekt aufrufen. Schreibt `.brutaler-anwalt/profile.md` mit den
+> projektspezifischen Compliance-Konstanten. Jeder folgende Audit-Run (`/anwalt:audit`)
+> liest diese Datei zuerst und ueberspringt die ~10-Minuten-Re-Discovery-Phase.
+---
+## Workflow
+### Schritt 1 — Existing-Profile-Check
+```bash
+test -f .brutaler-anwalt/profile.md && cat .brutaler-anwalt/profile.md || echo "no profile yet"
+```
+Wenn Profile existiert + < 90 Tage alt: User fragen ob update oder skip.
+Wenn > 90 Tage: empfehlen update (Recht-Updates: AI-Act, NIS2, BFSG, etc.).
+### Schritt 2 — Auto-Detection aus Codebase
+Ohne User-Input erfassen:
+| Feld | Detection-Quelle |
+|---|---|
+| **Framework** | `package.json` deps: `next`, `react`, `vue`, `svelte`, `astro`, `nuxt`, `remix` |
+| **Backend / DB** | `package.json`: `@supabase/supabase-js`, `prisma`, `drizzle-orm`, `mongoose`, `pg`, `mysql2` |
+| **Hosting-Hint** | `vercel.json`, `netlify.toml`, `wrangler.toml`, `Dockerfile` |
+| **Tracking / Analytics** | `package.json`: `@vercel/analytics`, `posthog-js`, `mixpanel`, `umami`, `plausible`, `gtag`, `next-google-analytics` |
+| **Auth-Provider** | `package.json`: `@clerk/`, `next-auth`, `@auth0/`, `@supabase/auth-helpers`, `@workos-inc/` |
+| **Payment** | `package.json`: `stripe`, `@paddle/`, `mollie`, `@adyen/`, `paypal` |
+| **AI-Provider** | `package.json`: `@anthropic-ai/sdk`, `openai`, `@google-cloud/vertexai`, `@aws-sdk/client-bedrock` |
+| **Email** | `package.json`: `resend`, `@sendgrid/mail`, `nodemailer`, `postmark`, `mailgun-js` |
+| **Branche-Hint** | `README.md`, package-name, `app/`-Pfade (z.B. `/spa/`, `/praxis/`, `/shop/`, `/learn/`) |
+### Schritt 3 — Interview (nur fuer Felder die nicht auto-detectbar sind)
+Frage in genau dieser Reihenfolge, eine Frage pro Turn:
+1. **Branche** — welche Hauptbranche bedient die App? (z.B. SaaS-Tools, E-Commerce, Heilberuf, Spa/Wellness, Finance, EdTech, MedTech, Gluecksspiel, Public-Sector, B2B-Software, andere)
+2. **Zielgruppe** — B2C (Verbraucher) / B2B (Unternehmen) / Mixed?
+3. **EU-Reichweite** — Nur Deutschland? DACH? EU-weit? Plus Drittland (USA, UK, Schweiz)?
+4. **Datenkategorien** — verarbeitet ihr besondere Kategorien nach Art. 9 DSGVO? (Gesundheits-, biometrische, sexuelle Orientierung, religioes, rasse, gewerkschaft, politische Meinung)
+5. **Tracking / Marketing** — habt ihr Cookie-Banner / Consent-Management implementiert? (Ja / Nein / Teilweise)
+6. **Auftragsverarbeiter** — habt ihr AVVs mit allen externen Diensten? (Ja / Nein / Teilweise)
+7. **Bestehende Compliance-Pruefung** — schon mal anwaltliche Compliance-Pruefung gehabt? (Ja, vor < 12 Monaten / Ja, > 12 Monate / Nein)
+8. **Abmahn-Historie** — schon mal abgemahnt worden? (Nein / 1x / mehrfach)
+9. **Compliance-Audit-Ziel** — was ist der primaere Ausloeser fuer diesen Audit? (Pre-Launch / Investoren-DD / Abmahn-Reaktion / Regulatorische-Stichtage / Routine-Hygiene)
+Bei jeder Antwort: in den Profile-Eintrag notieren. KEIN Audit durchfuehren — das ist Job von `/anwalt:audit`.
+### Schritt 4 — Profile-File schreiben
+Erzeuge `.brutaler-anwalt/profile.md` mit dieser Struktur:
+```markdown
+---
+generated: <ISO-Datum>
+generator: brutaler-anwalt v4.3.0 (/anwalt:cold-start)
+ttl_days: 90
+---
+# brutaler-anwalt — Projekt-Profil
+> Wird von jedem `/anwalt:audit`-Run automatisch geladen.
+> Refresh bei groesseren Stack-Aenderungen oder > 90 Tagen alt.
+## Auto-Detected (aus Codebase)
+| Feld | Wert | Source |
+|---|---|---|
+| Framework | <z.B. Next.js 15.3 App-Router> | package.json |
+| Backend | <z.B. Supabase + Postgres> | package.json |
+| Hosting | <z.B. Vercel> | vercel.json |
+| Tracking | <Liste oder "keines erkannt"> | package.json |
+| Auth | <Provider oder Custom> | package.json |
+| Payment | <Provider oder "kein"> | package.json |
+| AI-Provider | <Liste oder "kein"> | package.json |
+| Email | <Provider oder "kein"> | package.json |
+## Interview-Antworten
+| Feld | Wert |
+|---|---|
+| Branche | <user-answer> |
+| Zielgruppe | <B2C / B2B / Mixed> |
+| EU-Reichweite | <DE / DACH / EU / + Drittland> |
+| Art.-9-Daten | <Ja / Nein / welche> |
+| Cookie-Banner | <Ja / Nein / Teilweise> |
+| AVVs vollstaendig | <Ja / Nein / Teilweise> |
+| Anwaltlich gepruft | <Wann / Nie> |
+| Abmahn-Historie | <Nein / 1x / mehrfach> |
+| Audit-Ziel | <Pre-Launch / DD / Abmahn-Reaktion / Stichtag / Routine> |
+## Abgeleitete Pflicht-Audit-Surfaces
+Aus den obigen Daten leitet der Skill folgende Mindest-Audit-Surfaces ab:
+- [ ] **Impressum** (immer, § 5 DDG)
+- [ ] **Datenschutzerklaerung** (immer, Art. 13/14 DSGVO)
+- [ ] **Cookie-Banner / § 25 TDDDG** (wenn Tracking detected ODER Cookie-Banner=Nein)
+- [ ] **AVV-Pruefung** (wenn AVVs!=vollstaendig)
+- [ ] **Drittland-Transfer** (wenn EU-Reichweite + Drittland ODER US-Provider detected)
+- [ ] **AGB B2C** (wenn Zielgruppe=B2C/Mixed)
+- [ ] **Newsletter-DOI** (wenn Email-Provider detected)
+- [ ] **Art-9-Workflow** (wenn Art-9-Daten=Ja)
+- [ ] **Branchen-Layer** (siehe references/branchenrecht.md fuer <Branche>)
+- [ ] **BFSG** (wenn Zielgruppe=B2C/Mixed, Stichtag 28.06.2025)
+- [ ] **AEGIS-Integration** (wenn `aegis.config.json` oder `src/scanner/` existiert)
+## Branchen-Recht (verlinkt)
+<Hier auto-link zu relevanten References/branchenrecht-Sections basierend auf Branche-Antwort>
+## Abgeleitete Risiko-Indikatoren
+- Tracking ohne Consent → § 25 TDDDG-Risiko (HOCH wenn Cookie-Banner=Nein UND Tracking=Ja)
+- Drittland ohne SCC → Schrems-II-Risiko (HOCH wenn US-Provider UND Drittland-Klausel fehlt)
+- B2C ohne Widerrufsbelehrung → BGB §§ 312g-355 + UWG-Abmahn-Risiko
+- Art-9 ohne Spezial-Workflow → Bussgeld-Risiko (Art. 83 Abs. 5 DSGVO: bis 20 Mio EUR / 4%)
+---
+**Profil generiert. Naechster Schritt:** `/anwalt:audit` — startet den 5-Persona-Vollaudit basierend auf diesem Profil.
+```
+### Schritt 5 — Confirm + Naechste-Schritte
+Nach erfolgreichem Profile-Write:
+1. Zeige Profil-Pfad + Zusammenfassung
+2. Liste die 3-5 prio-hoechsten abgeleiteten Audit-Surfaces
+3. Empfehle naechsten Command basierend auf Audit-Ziel:
+   - Pre-Launch / Routine → `/anwalt:audit`
+   - Abmahn-Reaktion → `/anwalt:simulate <abmahn-thema>`
+   - Anwaltliche-Pruefung-Vorbereitung → `/anwalt:audit` + Output an Anwalt geben
+---
+## Halt-Conditions
+- **Refuse if `.brutaler-anwalt/profile.md` already exists + < 7 Tage alt + keine Stack-Aenderungen**: empfehle Skip statt Overwrite.
+- **Refuse if Projektroot nicht erkennbar** (kein package.json, kein git-repo, kein Composer/Gemfile/etc.): User fragen ob das wirklich ein Projektroot ist.
+- **Refuse if User abbricht im Interview** (>= 3 ausgelassene Antworten): Profile NICHT schreiben, User-Hinweis dass Audit ohne Profile minder-praezise wird.
+---
+## Disclaimer-Footer
+Wie immer: Diese Auswertung ist keine Rechtsberatung i.S.d. § 2 RDG (BGH I ZR 113/20 Smartlaw).
+Profile-Inhalt ist technisch-indikativ — fuer verbindliche Aussagen Mandatieren eines IT-Fachanwalts.

package/skills/compliance/aegis-native/brutaler-anwalt/commands/dsar-respond.md ADDED Viewed

@@ -0,0 +1,180 @@
+---
+name: anwalt:dsar-respond
+description: Bei eingehender Art-15-DSGVO-Auskunftsanfrage einen Response-Draft generieren — Art-15(1)(a-h) Pflicht-Inhalte + Drittland-Statement + 30d-Frist-Tracking + Identitaetsverifikation. KILLER-FEATURE — claude-for-legal hat das nur US, wir liefern DE/EU.
+allowed-tools: Read, Write, Edit, Glob, Grep, Bash
+---
+# /anwalt:dsar-respond — Art-15-DSGVO Auskunftsanfrage Response-Drafter
+> Generiert einen rechtssicheren Antwort-Draft auf eingegangene
+> Art-15-Anfrage (Auskunftsrecht) mit Pflichtinhalten,
+> Drittland-Disclosure + 30-Tage-Frist-Tracking.
+> Triggert das Practice-Profile + Branchen-Layer fuer kontextspezifische
+> Erweiterungen (z.B. Heilberuf-Patientendaten, Art-9-Sonderregeln).
+---
+## Input-Format
+Mode A — bekannter Mandant (Profile vorhanden):
+```
+/anwalt:dsar-respond mandant=<id> received_at=2026-05-15 betroffener=<name-or-pseudonym>
+```
+Mode B — ad-hoc:
+```
+/anwalt:dsar-respond received_at=2026-05-15
+```
+Bei Mode B Interview:
+- Branche
+- Mandant-Name (oder Pseudo) — wird nicht gespeichert wenn pseudonym
+- Anfrage-Inhalt (welche Daten will Betroffene/r?)
+- Identitaetsverifikation erfolgt? (BfDI-Empfehlung: bei Zweifel Ausweis-Kopie anfordern)
+---
+## Output-Struktur
+Erzeuge `dsar-responses/DSAR-<YYYY-MM-DD>-<betroffener-pseudo>.md`:
+```markdown
+# Auskunft nach Art. 15 DSGVO — Antwort
+> **Eingegangen am**: <datum>
+> **Frist Art. 12(3) DSGVO**: <datum + 30 Tage> (Verlaengerung auf 90 Tage moeglich bei Komplexitaet)
+> **Bearbeitender Mandant**: <Verantwortlicher / DSB>
+> **Identitaetsverifikation**: erfolgt am <datum> via <verfahren>
+---
+Sehr geehrte/r <Anrede>,
+vielen Dank fuer Ihre Anfrage vom <datum> nach Art. 15 DSGVO. Nachfolgend
+erhalten Sie die geforderten Informationen.
+## 1. Zwecke der Verarbeitung (Art. 15(1)(a))
+<Liste alle aktiven Verarbeitungszwecke fuer die Daten der Betroffenen Person>
+## 2. Datenkategorien (Art. 15(1)(b))
+Wir verarbeiten von Ihnen folgende Datenkategorien:
+- **Stammdaten**: Name, Anschrift, Geburtsdatum (falls erhoben), E-Mail, Telefon
+- **Vertragsdaten**: Vertragsbeginn, Tarif, Zahlungsmodalitaeten
+- **Nutzungsdaten**: Login-Datum, Aktivitaetslogs, IP-Adresse, User-Agent
+- **Inhaltsdaten**: hochgeladene Dateien, Profilinformationen, Kommunikation
+- **Sonstige**: <branchenspezifisch — bei Heilberuf: Patientenakte; bei Spa: Behandlungsdaten>
+## 3. Empfaenger (Art. 15(1)(c))
+Ihre Daten werden weitergegeben an / verarbeitet von:
+| Empfaenger | Zweck | Rechtsgrundlage | Drittland? |
+|---|---|---|---|
+| <Cloud-Provider> | Hosting | Art. 28 DSGVO (AVV) | <Ja/Nein, falls ja: SCC + TIA> |
+| <Email-Provider> | Versand | Art. 28 DSGVO | <Ja/Nein> |
+| <Payment-Provider> | Zahlungsabwicklung | Art. 6(1)(b) | <Ja/Nein> |
+| <Analytics-Provider> | Statistik | Art. 6(1)(a) Einwilligung | <Ja/Nein> |
+## 4. Speicherdauer (Art. 15(1)(d))
+| Datenkategorie | Speicherdauer | Begruendung |
+|---|---|---|
+| Stammdaten | 6 Jahre nach Vertragsende | § 257 HGB |
+| Steuerrelevante Daten | 10 Jahre | § 147 AO |
+| Inhaltsdaten | bis Account-Loeschung | Art. 6(1)(b) |
+| Aktivitaetslogs | 12 Monate | Art. 6(1)(f) IT-Sicherheit |
+## 5. Betroffenenrechte (Art. 15(1)(e))
+Sie haben das Recht auf:
+- **Berichtigung** (Art. 16): falsche Daten korrigieren
+- **Loeschung** (Art. 17): unter den Voraussetzungen des Art. 17 DSGVO
+- **Einschraenkung** (Art. 18): bei Streitigkeit ueber Richtigkeit
+- **Datenuebertragbarkeit** (Art. 20): strukturiertes Format
+- **Widerspruch** (Art. 21): gegen Direktmarketing
+- **Beschwerde bei Aufsichtsbehoerde** (Art. 77): zustaendig fuer <DE/Bundesland> ist <BfDI / LDI>
+## 6. Datenherkunft (Art. 15(1)(g))
+Ihre Daten haben wir erhalten von:
+- Ihnen selbst (Vertragsanbahnung / Registrierung am <datum>)
+- <weitere Quellen falls anwendbar, z.B. Empfehlung, Importe>
+## 7. Automatisierte Entscheidungsfindung (Art. 15(1)(h))
+<Wenn Profiling / AI-Entscheidungen verwendet werden: Beschreibung der Logik + Tragweite + Folgen>
+<Wenn nicht: "Es findet keine automatisierte Entscheidungsfindung iSd Art. 22 DSGVO statt.">
+## 8. Drittland-Transfer (Art. 15(2))
+<Falls Daten in Drittland uebermittelt:>
+Folgende Empfaenger sitzen in Drittlaendern ausserhalb der EU/EWR:
+- <Provider X> — USA — Rechtsgrundlage: EU-US-Data-Privacy-Framework
+  (Adequacy Decision 10.07.2023) bzw. SCC + TIA (Schrems-II-Pflicht).
+  Source: https://commission.europa.eu/document/...
+## 9. Kopie Ihrer Daten (Art. 15(3))
+Eine strukturierte Kopie Ihrer Daten findet sich im beigefuegten:
+- <PDF-Anhang> Stammdaten + Vertragsdaten
+- <CSV-Anhang> Aktivitaetslogs
+- <JSON-Anhang> Profilinformationen + UGC
+Bei umfangreichen Anfragen oder mehreren Anfragen kann die erste Kopie kostenlos
+zur Verfuegung gestellt werden, fuer weitere Kopien kann eine angemessene Gebuehr
+verlangt werden (Art. 15(3) S. 2-3 DSGVO).
+---
+## Bei Fragen
+Stehen wir Ihnen jederzeit zur Verfuegung. Sollten Sie weitere Auskuenfte
+benoetigen, wenden Sie sich bitte an unseren Datenschutzbeauftragten:
+<DSB-Name + Email + Telefon>
+Mit freundlichen Gruessen
+<Verantwortlicher>
+```
+---
+## Halt-Conditions
+- **Identitaet nicht verifiziert** (Art. 12(6) DSGVO): STOP, Identitaetsnachweis anfordern. Vorlage:
+  ```
+  Sehr geehrte/r <Anrede>,
+  vielen Dank fuer Ihre Anfrage. Zur Wahrung Ihrer Rechte benoetigen wir
+  eine Identitaetspruefung. Bitte senden Sie uns eine Kopie Ihres
+  Personalausweises (Vorder- und Rueckseite) oder verifizieren Sie sich
+  ueber Ihr registriertes Account-Login. Die Frist Art. 12(3) DSGVO beginnt
+  mit Ihrer Identitaetsbestaetigung.
+  ```
+- **Anfrage unzulaessig weit** (Art. 12(5)): Hinweis-Vorlage + Konkretisierungs-Anforderung.
+- **Wiederholte Anfragen** (Art. 12(5)(a)): Begruendung fuer Ablehnung oder Gebuehrenforderung.
+- **Konflikt mit Rechten Dritter** (Art. 15(4)): Hinweis-Vorlage; Daten anderer Personen darf nicht offengelegt werden.
+---
+## Frist-Tracking-File
+Erzeuge gleichzeitig `dsar-tracking.md`:
+```markdown
+# DSAR-Tracking
+| Anfrage | Eingang | Frist (30d) | Verlaengerung (90d) | Status | Beantwortet |
+|---|---|---|---|---|---|
+| <pseudo-id> | 2026-05-15 | 2026-06-14 | 2026-08-13 | bearbeitet | 2026-05-22 |
+```
+---
+## Disclaimer
+Diese Vorlage ist eine **technisch-strukturierte Antwort-Hilfe**. Die endgueltige
+Antwort muss durch die Verantwortliche / den Datenschutzbeauftragten geprueft
+und gezeichnet werden. § 2 RDG (BGH I ZR 113/20 Smartlaw) bleibt einschlaegig.

package/skills/compliance/aegis-native/brutaler-anwalt/commands/health.md ADDED Viewed

@@ -0,0 +1,50 @@
+---
+name: anwalt:health
+description: Skill-Self-Healthcheck. Prueft (1) References vollstaendig, (2) Az.-Provenance OK, (3) Hooks executable + lint-clean, (4) Plugin-Manifest schema-valid, (5) WebFetch-Allowlist nicht leer, (6) triggers.json alle Regex valid.
+allowed-tools: Bash, Read
+---
+# /anwalt:health — Skill-Self-Healthcheck
+> Ein-Klick-Diagnose ob der Skill funktionsfaehig ist. Auch fuer CI/Pre-Commit
+> nutzbar via `bash scripts/health-check.sh`.
+## Run
+Fuehre folgendes aus:
+```bash
+bash "$(dirname "$(readlink -f "$0" 2>/dev/null || realpath "$0")")"/../scripts/health-check.sh
+```
+Falls die `health-check.sh` aus dem Skill-Root nicht laeuft, fallback:
+```bash
+bash ~/.claude/skills/brutaler-anwalt/scripts/health-check.sh
+```
+## Expected Output
+```
+=== brutaler-anwalt health-check ===
+[1/9] References-Files vollstaendig         ... OK (11 files, 5056 lines)
+[2/9] Az.-Provenance (60 Az., 100% sourced) ... OK
+[3/9] Hooks executable (3 .py files)        ... OK
+[4/9] Hooks syntax-clean                    ... OK
+[5/9] Plugin-Manifest schema-valid          ... OK
+[6/9] WebFetch-Allowlist >= 30 Domains      ... OK (47 domains)
+[7/9] triggers.json regex-valid             ... OK (28 triggers)
+[8/9] references/INDEX.md aktuell           ... OK
+[9/9] CHANGELOG.md hat Eintrag fuer Version ... OK (v4.3.0)
+=== ALL CHECKS PASSED ===
+```
+Bei FAIL: explizit den fehlenden Check zeigen + Fix-Vorschlag.
+## Halt-Condition
+Wenn ein Check failt: NICHT versuchen, automatisch zu fixen. Stattdessen:
+1. Genauen Fehler im Output zeigen
+2. Konkreten Fix-Befehl vorschlagen
+3. User bestaetigen lassen bevor Fix angewendet wird