@aegis-scan/skills 0.5.0 → 0.5.2

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/svelte/cookie-banner-pattern.md

@@ -0,0 +1,234 @@
+---
+license: MIT (snippet)
+provider: Svelte / SvelteKit (Open-Source)
+last-checked: 2026-05-05
+purpose: SvelteKit Cookie-Banner mit Stores fuer Consent-State + global +layout.svelte Mount.
+---
+
+# Svelte/SvelteKit — Cookie-Banner (Pattern)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `svelte` und/oder `@sveltejs/kit` in `package.json`
+- `svelte.config.js` mit Adapter-Config
+- `src/routes/+layout.svelte` als globales Layout
+- `src/lib/stores/*.ts` Svelte-Stores (`writable`/`readable`)
+- Optional: `+layout.server.ts` fuer Server-Cookie-Read
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- SvelteKit SSR rendered initial HTML serverseitig → Banner-Logik die `localStorage` braucht muss `browser`-Guard nutzen
+- Tracker-Imports im Top-Level `+layout.svelte` `<script>` werden gebundelt + im SSR-HTML referenziert
+- Ohne `+layout.server.ts` sieht Server keinen Consent-Cookie → kann Tracker nicht filtern
+- Stores haben kein Persist von Default → Reload zeigt Banner erneut
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Tracker-Bundle in initial-load | § 25 TDDDG | KRITISCH | Dynamic-Import nach Consent |
+| `localStorage`-Access ohne `browser`-Guard | SSR-Crash | HOCH | `import { browser } from '$app/environment'` |
+| Banner doppelt gerendered (SSR + Hydration) | UX / DSGVO Klarheit | MITTEL | `{#if mounted}` Pattern |
+| Cookie ohne `Secure; SameSite=Lax` | Art. 32 DSGVO | HOCH | `event.cookies.set(..., { secure, sameSite })` |
+| Drittland-Adapter ohne EU-Region | Art. 44 DSGVO | KRITISCH | Adapter-Region konfigurieren |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/lib/stores/consent.ts
+import { writable, derived } from 'svelte/store';
+import { browser } from '$app/environment';
+
+export type Consent = {
+  necessary: true;
+  analytics: boolean;
+  marketing: boolean;
+  timestamp: string | null;
+  version: '1.0';
+};
+
+const defaultConsent: Consent = {
+  necessary: true,
+  analytics: false,
+  marketing: false,
+  timestamp: null,
+  version: '1.0',
+};
+
+function createConsentStore() {
+  const initial: Consent = { ...defaultConsent };
+
+  if (browser) {
+    const stored = localStorage.getItem('cookie-consent');
+    if (stored) {
+      try {
+        Object.assign(initial, JSON.parse(stored));
+      } catch {
+        /* ignore */
+      }
+    }
+  }
+
+  const { subscribe, set, update } = writable<Consent>(initial);
+
+  return {
+    subscribe,
+    grant(partial: Partial<Pick<Consent, 'analytics' | 'marketing'>>) {
+      update(c => {
+        const next: Consent = {
+          ...c,
+          ...partial,
+          timestamp: new Date().toISOString(),
+        };
+        if (browser) {
+          localStorage.setItem('cookie-consent', JSON.stringify(next));
+          fetch('/api/consent-log', {
+            method: 'POST',
+            headers: { 'Content-Type': 'application/json' },
+            body: JSON.stringify(next),
+          });
+        }
+        return next;
+      });
+    },
+    revoke() {
+      const reset: Consent = { ...defaultConsent, timestamp: new Date().toISOString() };
+      if (browser) {
+        localStorage.setItem('cookie-consent', JSON.stringify(reset));
+      }
+      set(reset);
+    },
+  };
+}
+
+export const consent = createConsentStore();
+export const hasDecided = derived(consent, $c => $c.timestamp !== null);
+```
+
+```svelte
+<!-- File: src/lib/components/CookieBanner.svelte -->
+<script lang="ts">
+  import { onMount } from 'svelte';
+  import { consent, hasDecided } from '$lib/stores/consent';
+  import { browser } from '$app/environment';
+
+  let mounted = false;
+
+  onMount(() => {
+    mounted = true;
+  });
+
+  function acceptAll() {
+    consent.grant({ analytics: true, marketing: true });
+  }
+
+  function rejectAll() {
+    consent.grant({ analytics: false, marketing: false });
+  }
+</script>
+
+{#if mounted && !$hasDecided}
+  <aside role="dialog" aria-label="Cookie-Einwilligung" class="cookie-banner">
+    <p>
+      Wir nutzen Cookies fuer notwendige Funktionen. Mit Ihrer Einwilligung
+      zusaetzlich fuer Webanalyse. Details:
+      <a href="/datenschutz">Datenschutzerklaerung</a>.
+    </p>
+    <div class="cookie-actions">
+      <!-- Buttons gleichwertig (OLG Koeln 6 U 80/23) -->
+      <button on:click={rejectAll} class="btn-secondary">Nur Notwendige</button>
+      <button on:click={acceptAll} class="btn-primary">Alle akzeptieren</button>
+    </div>
+  </aside>
+{/if}
+
+<style>
+  .cookie-banner {
+    position: fixed;
+    bottom: 0;
+    left: 0;
+    right: 0;
+    background: #fff;
+    border-top: 1px solid #ccc;
+    padding: 1rem;
+    z-index: 9999;
+  }
+</style>
+```
+
+```svelte
+<!-- File: src/routes/+layout.svelte -->
+<script lang="ts">
+  import CookieBanner from '$lib/components/CookieBanner.svelte';
+  import { consent } from '$lib/stores/consent';
+  import { browser } from '$app/environment';
+
+  // Dynamic-Tracker-Load nach Consent-Aenderung
+  if (browser) {
+    consent.subscribe(async ($c) => {
+      if ($c.analytics) {
+        const m = await import('$lib/trackers/analytics');
+        m.init();
+      }
+    });
+  }
+</script>
+
+<slot />
+<CookieBanner />
+```
+
+## AVV / DPA
+
+- Hosting-Adapter (Vercel / Netlify / Node) — Art. 28 DSGVO
+- Edge-Adapter Region MUSS auf EU gepinnt sein
+- Analytics-Provider (EU) — AVV
+- Form-Backends — separate AVV pro Service
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Cookie-Einwilligung (SvelteKit)
+
+Diese Webseite verwendet einen Cookie-Banner zur Einholung Ihrer
+Einwilligung gem. § 25 Abs. 1 TDDDG. Ihre Entscheidung wird im
+Browser-Speicher (`localStorage`) gespeichert und zusaetzlich serverseitig
+zur Nachweispflicht (Art. 7 Abs. 1 DSGVO) protokolliert.
+
+**Server-Side-Log enthaelt:**
+- Hash der IP-Adresse (SHA-256, gekuerzt)
+- Zeitstempel
+- Gewaehlte Kategorien
+- User-Agent
+
+**Speicherdauer Server-Log:** 6 Jahre (Beweisfunktion bei Rechtsstreit).
+**Loeschung Browser-Storage:** ueber [Cookie-Einstellungen](#cookie-settings)
+im Footer oder Browser-Einstellungen.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. Banner sichtbar bei Erstbesuch
+curl -sS https://<placeholder-domain>/ | grep -ic "cookie-banner"
+
+# 2. Tracker-Bundle nicht im initial HTML
+curl -sS https://<placeholder-domain>/ | grep -oE '<script[^>]*src="[^"]+"' | grep -i "analytics\|tracker"
+# Erwartung: leer
+
+# 3. SvelteKit-Region-Pinning
+curl -sI https://<placeholder-domain>/ | grep -i "x-vercel-id"
+# Erwartung: fra1 / cdg1 etc.
+
+# 4. Hydration-Check (Browser DevTools-Console)
+# Erwartung: kein "[svelte] hydration_mismatch" warning
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `cookie-audit.ts`, `tracking-scan.ts`, `consent-flow-checker.ts`, `ssr-data-leak-checker.ts`
+- Skill-Reference: `references/dsgvo.md` § 25 TDDDG, Art. 7 DSGVO
+- BGH-Rechtsprechung: `references/bgh-urteile.md` BGH I ZR 7/16
+- OLG Koeln 6 U 80/23 (Button-Gleichwertigkeit)
+- Audit-Pattern: `references/audit-patterns.md` Phase 2 (Cookie-Audit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/svelte/dse-section-pattern.md

@@ -0,0 +1,231 @@
+---
+license: MIT (snippet)
+provider: SvelteKit + mdsvex (Open-Source)
+last-checked: 2026-05-05
+purpose: SvelteKit DSE-Pattern mit mdsvex-Markdown + Frontmatter-Versionierung.
+---
+
+# SvelteKit — DSE-Section Pattern (mdsvex)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `mdsvex` oder `@sveltejs/enhanced-img` in Dependencies
+- `svelte.config.js` mit `extensions: ['.svelte', '.md']`
+- `src/content/legal/*.md` oder `src/routes/**/+page.md` mit Frontmatter
+- Routes wie `/datenschutz`, `/impressum`, `/agb`
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- DSE in `+page.svelte` inline → kein Frontmatter, keine Versionierung
+- Kein zentrales Auftragsverarbeiter-Register → DSE-Drift gegenueber Realitaet
+- `last-updated` fehlt → User kann Aktualitaet nicht beurteilen
+- Anchor-Links auf Sub-Sektionen funktionieren nicht (keine auto-IDs)
+- DSE-Header-Level inkonsistent zwischen Pages
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| DSE outdated (kein Datum) | Art. 13 DSGVO | HOCH | Frontmatter `lastUpdated` rendern |
+| Auftragsverarbeiter-Section fehlt | Art. 28 DSGVO | KRITISCH | Pflicht-Tabelle in DSE |
+| Missing Loeschungs-Hinweis | Art. 17 DSGVO | HOCH | Section "Ihre Rechte" Pflicht |
+| Sprache nicht deklariert | BITV 2.0 | MITTEL | `<html lang="de">` + `lang`-Attribut |
+| Heading-Hierarchie kaputt (h1 dann h3) | A11y / Klarheit | MITTEL | mdsvex `rehype-slug` + lint |
+
+## Code-Pattern (sanitized)
+
+```javascript
+// File: svelte.config.js
+import adapter from '@sveltejs/adapter-vercel';
+import { mdsvex } from 'mdsvex';
+import rehypeSlug from 'rehype-slug';
+import rehypeAutolinkHeadings from 'rehype-autolink-headings';
+
+const config = {
+  extensions: ['.svelte', '.md'],
+  preprocess: [
+    mdsvex({
+      extensions: ['.md'],
+      rehypePlugins: [
+        rehypeSlug,
+        [rehypeAutolinkHeadings, { behavior: 'wrap' }],
+      ],
+      layout: {
+        legal: 'src/lib/layouts/Legal.svelte',
+      },
+    }),
+  ],
+  kit: {
+    adapter: adapter({ regions: ['fra1'] }),
+  },
+};
+
+export default config;
+```
+
+```markdown
+<!-- File: src/routes/datenschutz/+page.md -->
+---
+title: Datenschutzerklaerung
+layout: legal
+lastUpdated: 2026-05-05
+version: "2.3"
+section: datenschutz
+author: "<placeholder-legal-counsel>"
+---
+
+# Datenschutzerklaerung
+
+## 1. Verantwortliche Stelle
+
+<placeholder-company-name>
+<placeholder-street>
+<placeholder-postal-code> <placeholder-city>
+
+E-Mail: <placeholder-email>
+
+## 2. Erhobene Daten und Zwecke
+
+| Datum | Zweck | Rechtsgrundlage | Speicherdauer |
+|---|---|---|---|
+| Server-Logs (Hash) | Sicherheit | Art. 6 Abs. 1 lit. f | 14 Tage |
+| Cookie-Consent | Nachweis | Art. 7 DSGVO | 12 Monate |
+| Analytics (Opt-In) | Optimierung | Art. 6 Abs. 1 lit. a | <placeholder-days> Tage |
+
+## 3. Auftragsverarbeiter
+
+| Anbieter | Sitz | Zweck | Drittland | AVV |
+|---|---|---|---|---|
+| <placeholder-hosting-provider> | <placeholder-eu-country> | Hosting | Nein | Ja |
+| <placeholder-analytics-provider> | <placeholder-eu-country> | Webanalyse | Nein | Ja |
+| <placeholder-error-tracking-provider> | <placeholder-eu-country> | Error-Tracking | Nein | Ja |
+
+## 4. Cookies und vergleichbare Technologien
+
+Siehe [Cookie-Einstellungen](#cookie-settings) — Sie koennen Ihre Einwilligung
+jederzeit widerrufen.
+
+## 5. Ihre Rechte
+
+Sie haben gegen uns folgende Rechte:
+- Auskunft (Art. 15 DSGVO)
+- Berichtigung (Art. 16 DSGVO)
+- Loeschung (Art. 17 DSGVO)
+- Einschraenkung (Art. 18 DSGVO)
+- Datenuebertragbarkeit (Art. 20 DSGVO)
+- Widerspruch (Art. 21 DSGVO)
+- Beschwerde bei Aufsichtsbehoerde (Art. 77 DSGVO)
+
+Kontakt: <placeholder-email>
+
+## 6. Aenderungen
+
+Die jeweils aktuelle Version dieser Datenschutzerklaerung ist unter dieser
+URL abrufbar. aenderungen werden mit aktualisiertem `Stand`-Datum publiziert.
+```
+
+```svelte
+<!-- File: src/lib/layouts/Legal.svelte -->
+<script lang="ts">
+  export let title: string;
+  export let lastUpdated: string;
+  export let version: string;
+  export let section: string;
+
+  const formattedDate = new Date(lastUpdated).toLocaleDateString('de-DE', {
+    day: '2-digit',
+    month: 'long',
+    year: 'numeric',
+  });
+</script>
+
+<svelte:head>
+  <title>{title}</title>
+  <meta name="robots" content="index,follow" />
+</svelte:head>
+
+<article class="legal" lang="de" data-section={section}>
+  <header>
+    <h1>{title}</h1>
+    <p class="meta">
+      Version {version} —
+      Stand: <time datetime={lastUpdated}>{formattedDate}</time>
+    </p>
+  </header>
+
+  <slot />
+
+  <footer class="legal-footer">
+    <p>
+      Bei Fragen zur Verarbeitung wenden Sie sich an:
+      <a href="mailto:<placeholder-email>"><placeholder-email></a>
+    </p>
+  </footer>
+</article>
+
+<style>
+  .legal { max-width: 65ch; margin: 0 auto; padding: 2rem 1rem; }
+  .meta { color: #666; font-size: 0.9rem; }
+  .legal-footer { margin-top: 4rem; padding-top: 2rem; border-top: 1px solid #ddd; }
+</style>
+```
+
+## AVV / DPA
+
+DSE selbst keine AVV. Aber:
+- Hosting-Provider liefert DSE → AVV
+- DSE listet ALLE anderen Auftragsverarbeiter (siehe Tabelle in Section 3)
+- Bei Aenderungen am Tech-Stack MUSS DSE versioniert werden (Frontmatter `version` bumpen)
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Versionierung dieser Datenschutzerklaerung
+
+Diese Datenschutzerklaerung wird kontinuierlich gepflegt. Aktuelle Version:
+**2.3** vom **5. Mai 2026**.
+
+**Aenderungs-Historie verfuegbar via:**
+- Git-Repository: <placeholder-repo-url>/commits/main/src/routes/datenschutz
+- Tags fuer Major-Versionen: `legal-v2.0`, `legal-v2.3`
+
+**Bei wesentlichen Aenderungen** (neue Datenkategorien, neue
+Auftragsverarbeiter, geaenderte Speicherdauern) informieren wir Sie
+zusaetzlich per E-Mail (sofern Sie Newsletter abonniert haben) oder via
+Banner-Hinweis bei naechstem Webseitenbesuch.
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. DSE erreichbar
+curl -sI https://<placeholder-domain>/datenschutz | head -1
+# Erwartung: HTTP/2 200
+
+# 2. Frontmatter-Daten gerendered
+curl -sS https://<placeholder-domain>/datenschutz | grep -ic "stand:\|version"
+
+# 3. Auftragsverarbeiter-Tabelle vorhanden
+curl -sS https://<placeholder-domain>/datenschutz | grep -ic "auftragsverarbeit\|hosting\|analytics"
+
+# 4. Anker-Links generiert
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'id="[^"]+"' | head -10
+# Erwartung: id="verantwortliche-stelle", id="ihre-rechte", etc.
+
+# 5. lang-Attribut
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE 'lang="[a-z]+"' | head -1
+# Erwartung: lang="de"
+
+# 6. Heading-Hierarchie ohne Sprung
+curl -sS https://<placeholder-domain>/datenschutz | grep -oE '<h[1-6]' | sort -u
+# Erwartung: <h1, <h2, <h3 — kein Skip
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `dse-completeness-checker.ts`, `legal-pages-checker.ts`, `heading-hierarchy-checker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 13, 14, 28
+- BGH-Rechtsprechung: `references/bgh-urteile.md`
+- DSK-Beschluesse: `references/de-dsk-beschluesse.md` (Auftragsverarbeitung)
+- Audit-Pattern: `references/audit-patterns.md` Phase 1 (DSE-Vollstaendigkeit)

package/skills/compliance/aegis-native/brutaler-anwalt/references/stack-patterns/svelte/sveltekit-server-hooks-pattern.md

@@ -0,0 +1,217 @@
+---
+license: MIT (snippet)
+provider: SvelteKit (Open-Source)
+last-checked: 2026-05-05
+purpose: SvelteKit Server-Hooks Pattern fuer Tracker-Authorization + Consent-Cookie-Forwarding.
+---
+
+# SvelteKit — Server-Hooks Pattern (Tracker-Auth + Consent-Forward)
+
+## Trigger / Detection
+
+Repo enthaelt:
+- `src/hooks.server.ts` oder `src/hooks.server.js`
+- `handle`/`handleFetch` Export
+- `event.cookies` / `event.locals` Usage
+- Optional: `/api/track` oder `/api/consent-log` Server-Endpoints
+
+Pattern: Server-Hooks pruefen den Consent-Cookie BEVOR sie Tracker-Server-Calls (intern oder als Reverse-Proxy) durchfuehren. Bei fehlendem Consent wird der Tracker-Forward unterdrueckt.
+
+## Default-Verhalten (was passiert ohne Konfiguration)
+
+- Default-`hooks.server.ts` ist meistens leer (kein Handle-Export) → keine Cookie-Validierung
+- `handleFetch` wird nicht ueberschrieben → SvelteKit forwarded Server-Side-Fetch ohne Consent-Pruefung
+- Tracker-Calls werden in `+page.server.ts` blind ausgefuehrt
+- Set-Cookie-Header werden vom Server gesetzt ohne `Secure;HttpOnly;SameSite=Lax`-Flags
+
+## Compliance-Risiken
+
+| Risiko | Norm | Severity | Fix |
+|---|---|---|---|
+| Server-Tracker-Call ohne Consent | § 25 TDDDG | KRITISCH | Hook prueft `cookie-consent` vor Forward |
+| Tracker-Cookie ohne `Secure` Flag | Art. 32 DSGVO | HOCH | `cookies.set(..., { secure, sameSite: 'lax' })` |
+| Drittland-Forward in `handleFetch` | Art. 44 DSGVO | KRITISCH | Allowlist EU-Hosts |
+| Klartext-IP in Server-Logs | Art. 5 Abs. 1 lit. f | HOCH | IP-Hash in Hook |
+| Consent-Cookie nicht `HttpOnly` (wenn nur Server liest) | Art. 32 DSGVO | MITTEL | Trennung: Read-Cookie HttpOnly, Banner-Cookie nicht |
+
+## Code-Pattern (sanitized)
+
+```typescript
+// File: src/hooks.server.ts
+import type { Handle, HandleFetch } from '@sveltejs/kit';
+import { sequence } from '@sveltejs/kit/hooks';
+import crypto from 'node:crypto';
+
+const ANALYTICS_ALLOWLIST = new Set([
+  '<placeholder-eu-analytics-host>',
+  '<placeholder-eu-error-tracking-host>',
+]);
+
+const consentHandle: Handle = async ({ event, resolve }) => {
+  // 1. Lese Consent-Cookie (kein HttpOnly, weil Banner-Komponente liest)
+  const raw = event.cookies.get('cookie-consent');
+  let consent = { necessary: true, analytics: false, marketing: false };
+  if (raw) {
+    try {
+      consent = { ...consent, ...JSON.parse(raw) };
+    } catch {
+      /* ignore malformed */
+    }
+  }
+
+  // 2. In locals fuer Page-Server-Code verfuegbar
+  event.locals.consent = consent;
+
+  // 3. IP-Hash fuer Logs (anonymisiert)
+  const rawIp = event.getClientAddress();
+  event.locals.ipHash = crypto
+    .createHash('sha256')
+    .update(rawIp + (process.env.IP_HASH_SALT ?? ''))
+    .digest('hex')
+    .slice(0, 16);
+
+  // 4. Resolve Request
+  const response = await resolve(event);
+
+  // 5. Security-Headers
+  response.headers.set('X-Content-Type-Options', 'nosniff');
+  response.headers.set('Referrer-Policy', 'strict-origin-when-cross-origin');
+  response.headers.set('Permissions-Policy', 'geolocation=(), camera=(), microphone=()');
+
+  return response;
+};
+
+const fetchHandle: HandleFetch = async ({ event, request, fetch }) => {
+  const url = new URL(request.url);
+
+  // Allowlist-Check fuer Drittland-Calls
+  if (!ANALYTICS_ALLOWLIST.has(url.host) && url.host !== event.url.host) {
+    // Pruefe Consent vor externem Fetch
+    if (!event.locals.consent?.analytics) {
+      return new Response(JSON.stringify({ blocked: 'consent-required' }), {
+        status: 403,
+        headers: { 'Content-Type': 'application/json' },
+      });
+    }
+  }
+
+  return fetch(request);
+};
+
+export const handle = sequence(consentHandle);
+export const handleFetch = fetchHandle;
+```
+
+```typescript
+// File: src/app.d.ts (Type-Augmentation)
+declare global {
+  namespace App {
+    interface Locals {
+      consent: {
+        necessary: true;
+        analytics: boolean;
+        marketing: boolean;
+      };
+      ipHash: string;
+    }
+  }
+}
+
+export {};
+```
+
+```typescript
+// File: src/routes/api/track/+server.ts
+import type { RequestHandler } from './$types';
+import { json } from '@sveltejs/kit';
+
+export const POST: RequestHandler = async ({ request, locals }) => {
+  // Hook hat consent + ipHash gesetzt
+  if (!locals.consent.analytics) {
+    return json({ blocked: 'analytics-opt-out' }, { status: 204 });
+  }
+
+  const payload = await request.json();
+  const safe = {
+    path: typeof payload.path === 'string' ? payload.path.slice(0, 200) : '/',
+    visitorHash: locals.ipHash,
+    timestamp: new Date().toISOString(),
+  };
+
+  // Forward an EU-Provider (im Allowlist)
+  await fetch('https://<placeholder-eu-analytics-host>/api/event', {
+    method: 'POST',
+    headers: {
+      'Content-Type': 'application/json',
+      Authorization: `Bearer ${process.env.ANALYTICS_TOKEN}`,
+    },
+    body: JSON.stringify(safe),
+  });
+
+  return new Response(null, { status: 204 });
+};
+```
+
+```typescript
+// File: src/routes/+layout.server.ts
+import type { LayoutServerLoad } from './$types';
+
+export const load: LayoutServerLoad = ({ locals }) => {
+  return {
+    // Niemals ipHash an Client leaken
+    consent: locals.consent,
+  };
+};
+```
+
+## AVV / DPA
+
+- Hosting-Adapter mit EU-Region (Vercel `regions: ['fra1']` / Cloudflare Workers EU) — Art. 28 DSGVO
+- Analytics-Provider (im Allowlist) — AVV mit EU-Hosting
+- Logging-Provider (Sentry / Datadog EU) — AVV; Logs muessen IP-Hashed sein
+
+## DSE-Wording-Vorlage
+
+```markdown
+### Server-Side-Verarbeitung
+
+Diese Webseite verwendet SvelteKit mit Server-Side Rendering. Beim
+initialen Aufruf werden serverseitig folgende Daten kurzzeitig verarbeitet:
+
+- IP-Adresse: nur als SHA-256-Hash (mit Salt) gespeichert, niemals im Klartext
+- User-Agent (anonymisiert auf Browser-Familie)
+- Sprach-Header (`Accept-Language`)
+
+**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Stabilitaet)
+i.V.m. § 25 Abs. 2 Nr. 2 TDDDG.
+**Speicherdauer:** Server-Logs 14 Tage, Hashes 30 Tage zur Missbrauchs-Erkennung.
+**Externe Forwards:** nur an Auftragsverarbeiter im EU-Wirtschaftsraum
+([Liste in Auftragsverarbeiter-Section](#auftragsverarbeiter)).
+```
+
+## Verify-Commands (Live-Probe)
+
+```bash
+# 1. Security-Headers gesetzt
+curl -sI https://<placeholder-domain>/ | grep -iE "x-content-type-options|referrer-policy|permissions-policy"
+# Erwartung: 3 Treffer
+
+# 2. Tracker-Endpoint blockt ohne Consent-Cookie
+curl -X POST https://<placeholder-domain>/api/track \
+  -H "Content-Type: application/json" -d '{"path":"/test"}' -i
+# Erwartung: 204 mit "analytics-opt-out"
+
+# 3. handleFetch blockiert Drittland-Forward
+# (manueller Test: setze Server-Code-Stelle die nicht-allowlisted Host fetcht)
+
+# 4. IP-Hash niemals im Client-State
+curl -sS https://<placeholder-domain>/ | grep -ic "ipHash"
+# Erwartung: 0
+```
+
+## Cross-References
+
+- AEGIS-Scanner: `server-hook-checker.ts`, `cors-allowlist-checker.ts`, `pii-flow-tracker.ts`
+- Skill-Reference: `references/dsgvo.md` Art. 32 (Sicherheit), Art. 44 (Drittland)
+- BGH-Rechtsprechung: `references/bgh-urteile.md`
+- Audit-Pattern: `references/audit-patterns.md` Phase 3 (Drittland-Audit), Phase 6 (Server-Side-Logs)